ActiveDirectoryは、社内のサーバやPC等のリソースを比較的容易に一元管理できることから多くの企業で導入されています。
ドメイン環境とワークグループ環境
ActiveDirectoryでは、データベースを利用してユーザアカウントの認証が御行われ、ActiveDirectoryが利用されている環境を「ドメイン環境」と呼びctiveDirectory上にコンピュータへのログオンに関するユーザアカウント情報が一元管理されています。ActiveDirectoryがインストールされたサーバを「ドメインコントローラ」と呼びます。よく「ドメコン」とも呼ばれていますね。
そして、ActiveDirectoryを使わない環境を「ワークグループ環境」といいます。
「ワークグループ環境」では、コンピュータにログオンしようとするユーザアカウントに対する認証をコンピュータ自身が行います。
一方、「ドメイン環境」では、ActiveDirectoryに保存されているユーザアカウント情報との照合を行うことにより認証が行われます。「ドメイン環境」のコンピュータにログオンしようとした場合、当該コンピュータでは認証が行われることはありません。
というものの、正確にはコンピュータにログオンを行う歳にActiveDirectoryからコンピュータに対して発行される認証チケットというものが正しいものかどうかの検証をコンピュータ側で行われています。
この仕組みが、この後解説するActiveDirectoryへの攻撃の温床となる脅威があるのです。
ActiveDirectoryに対する攻撃って?
ActiveDirectoryでは認証チケットという仕組みがあると紹介しましたが、これを悪用した攻撃が確認されています。
その攻撃は主には以下の手法のようです。
・ActiveDirectoryの脆弱性の悪用によるドメイン管理者への権限昇格
・コンピュータに保存されたアカウントの認証情報を悪用したなりすまし
どのような対策を行えばよいのか?
第一に、サーバに使用する管理者アカウントと、クライアントPCに使用するそれとを別々にすることが有効とされています。
ドメイン管理者(Domain Admins)という高い権限を持つアカウントを、比較的セキュリティ脅威の高いクライアントPCで使用することを避ける必要があります。
万一、クライアントPCがウイルス感染していた場合、ドメイン管理者の認証情報を搾取されてしまう可能性を排除するためです。
第二に、ドメイン管理者権限やサーバ管理者権限などの高い権限を持つアカウントを最小限にとどめておきましょう。
これは、アカウントを乗っ取られるリスクを低下させるのに有効です。
第三に、ドメインコントローラは常に最新のセキュリティ更新プログラムが適用された状態にしおく必要があります。
ドメインコントローラに関連する重要な更新プログラムが提供される場合がありますので、日頃からの注意が必要です。
その他、LSA Protection機能を有効にする、ユーザアカウントをProtected Usersグループに所属させる、restricted Admin機能を使うといった対策があります。
今回は、JPCERTコーディネーションセンターから公開されている「ログを活用したActive Directoryに対する攻撃の検知と対策」を参考に解説しました。
もっと詳しくお知りになりた方は、以下をご参照ください。
JPCERT公開資料:「ログを活用したActive Directoryに対する攻撃の検知と対策」