1. Active Directoryの重要性

Active Directory（以下本文中はADと表記します）はほとんどの企業でユーザやデバイスの認証・認可を司るシステム基盤として導入されています。昨今では社内システムの認証にとどまらず、クラウドサービスの認証においても認証プロキシ経由でADを参照するよう設計されているところも多く、その重要性は高まっています。また近年浸透してきたゼロトラストセキュリティモデルでは、あらゆるアクセスについて、都度の認証・認可の確認を行うことを原則としており、より強固な認証基盤の存在が求められています。

一方、大半のサイバー攻撃は、攻撃プロセスの侵入拡大フェーズにおいて認証情報の窃取を伴うため、ADは攻撃者が頻繁に狙う標的です。事実、Ryukランサムウェア ^(※1) はDomainGrabberというADの偵察を行うツールを内包しているものもあり、侵入後の被害範囲を拡大させ、最終的に1億5000万ドル以上の被害をもたらしたとされています。

※1 Ryukランサムウェア: 2018年頃から確認されたランサムウェア（身代金要求型マルウェア）の一種

2. Active Directoryの運用でよくみられる光景

AD運用の現場に目を移すと、多くのAD管理者が以下のような共通の悩みを抱えています。

筆者自身もいくつかのAD運用の現場に関わった経験上心当たりがあるのですが、構成管理は何とかできているものの、脆弱性の管理までは手が回っていない、というのが多くの運用現場での実態ではないでしょうか。

3. Active Directoryに対する脅威

では、ADを取り巻く脅威にはどのようなものがあるのでしょうか。AD対する脅威を理解するために、一般的なサイバー攻撃のプロセスを確認しておきましょう。

3.1. サイバー攻撃のプロセス

図1に示す通り、主として情報の窃取を目的とするサイバー攻撃は、一般的に以下の４つのフェーズで行われます。

図1 サイバー攻撃のプロセス

ADサービスを提供するドメインコントローラーは、通常組織内ネットワークのサーバセグメントに配置されているため、一次侵入の標的にされることは稀で、侵入拡大フェーズで標的にされます。攻撃者は後述する手法を利用してドメインコントローラーへの攻撃を試みます。侵入拡大フェーズの中でもADの陥落は致命的で、ADの管理者権限が奪取された場合、ドメインに所属する組織内のサーバは攻撃者の管理下に置かれることになります。

一次侵入には、上述の通り標的型メール等の手法が用いられますが、その手法は年々巧妙化しており、完全に防ぐのは極めて困難です。したがって、その次のフェーズである、侵入拡大フェーズにおける防御、とりわけADをいかに守るかが、情報漏洩を防ぐ重要な要素となります。

3.2. ADへの攻撃手法

ADへの攻撃は主に次の３種類を併用して行われます。

4. Active Directoryをセキュアに運用するために

以上、ADへの攻撃手法を踏まえ、ADをセキュアにするためには、AD環境に対して以下を実施することが肝要です。

さらにこれらを適切に維持・管理していくためには、脆弱な構成・設定になっていないかの検査を定期的に実施し、イベントの監視を実施する必要があります。ただでさえ複雑化し運用負荷が増大しているＡＤ運用の現場でこれらの検査・監視を行うリソースを捻出するのは至難の業です。そこで今回は人手に頼ることなくADのセキュリティリスクを検査・監視するソリューションを利用する場合の一例として「Tenable.ad」をご紹介します。

4.1. Tenable.ad

Tenable.adは米国Tenable社が2021年にリリースしたADの脆弱性検出に特化した脆弱性管理プラットフォームです。ADの脆弱性を検出し、ふるまいを監視するツールで、以下の特徴を持っています。

4.2. Tenable.adのUI

では、実際のTenable.adのUIを見てみましょう。

図2はTenable.adのダッシュボード画面です。ダッシュボードでは、ユーザ数、コンプライアンススコア（ドメイン全体の安全性の指標）、逸脱数（脆弱性の指摘数）などの情報を確認することが可能です。ADの脆弱性の確認には、画面左側の「露出の指標」と「攻撃指標を」確認します。「露出の指標」とは、Tenable.adがADの構成情報を元に認識した脆弱性の指摘を示しており、「攻撃指標」は主にイベントを元にした攻撃と考えられるふるまいを検知・抽出するものです。

図2 ダッシュボード画面

図3は露出の指標の確認画面です。各脆弱性の深刻度に応じて、「重大」「高」「中」「低」のレベルごとに表示されます。

図3 露出の指標確認画面

内容を確認したい脆弱性をクリックすると、図4のような脆弱性の詳細画面に遷移します。詳細画面では、当該脆弱性の詳細、どのオブジェクトに対しての指摘であるか、どのような対処が推奨されるかが表示されます。対処方法については、オブジェクトやレジストリキーの変更方法が手順レベルで記載されており、これに従うことで脆弱性の修正が可能です。

図4 脆弱性詳細画面

図5は攻撃指標の確認画面です。時系列で攻撃と考えられるふるまいとその数を示します。さらにグラフをクリックすると、図 6のようにイベントの詳細が確認できます。

図5 攻撃指標の確認画面

図6 攻撃イベントの詳細画面

5. おわりに

ゼロトラスト時代の到来に伴ってADの重要性はさらに上がっている一方、クラウド利用の普及も相まってセキュリティリスクも増大しています。ADのセキュアな運用に欠かせないのは、特別なことではなく、適切な構成管理とイベントの監視です。一方、ワークスタイルの変容で、アプリケーションや利用形態が増大し、複雑化するADの構成を適切に維持するのも難しい状況になっているのも確かです。今回は、ADの構成の検査と監視の大部分を人手に頼ることなく実施できるソリューションとしてTenable.adをご紹介しました。

当社では、ADの設計・構築案件や各種セキュリティサーベイを通じて、ADをセキュアに運用するメソドロジーの研究開発を推進しております。今後も継続的に技術情報の提供を行ってまいります。

参考文献