Reading Time: 1 minutes

標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多数報告されています。

例えば、2015年5月に起きた日本年金機構の個人情報流出事件でも、Active Directoryのドメインコントローラーとローカルの管理者権限が奪われました。

Active Directoryのドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、攻略できればマルウェアの感染拡大や機密情報の流出が容易に行えます。このため、攻撃者の攻略目標となりやすいのです。

攻撃の兆候は、ログを定期的に監査することで事前に検知できると言われています。2017年3月には、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策方法を解説した資料が公開されました。

ログを活用したActive Directoryに対する攻撃の検知と対策


【どんな対策をすればいいか?】

Active Directoryのセキュリティ対策と言っても、具体的にはどのような対策を実施すればいいのでしょう。以下で、その内容を簡単にまとめます。

<ログ監査>

JPCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきID番号とその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。

また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。

<特権ID管理>

Active Directoryのドメイン管理者アカウントは、その権限範囲の広さから「特権ID」と言えます。従って、パスワードを不用意に共有し、「いつ/誰が」アクセスしたか分からないという状況を作らず、厳重に管理することが求められます。

なお、特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるため、結果として異常ログの速やかな検知につながるという効果もあります。

また、管理者アカウントの認証情報が保存される端末は攻撃者の標的となりやすいため、JPCERT/CCの解説書では管理者アカウントを使う端末と他の作業を行う端末と分離し、インターネットへのアクセスやアプリケーションの実行を制限する事が望ましいとされています。

※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro」を導入したサーバーを踏み台とし、Active Directoryへのアクセス元を固定すれば、「特権ID管理」と「端末分離」を効率的に実施できます。

<アカウント/権限の洗い出し>

特権を付与するアカウントを最小化することも重要です。高権限グループに所属するアカウントがどれなのかを定期的に洗い出し、不要なアカウントが含まれていないことを確認する必要があります。

また、退職や異動に伴い使われなくなったアカウントを放置せず、定期的な棚卸しを行うことで攻撃者からの悪用を未然に防げます。


【どうやって実施すればいいか?】

対策方法が分かったとしても、「どうやって実施するか?」という課題はつきものです。ManageEngineでは、Active Directoryのセキュリティ対策に活用できる製品を取り揃えており、対策の実施を支援します。

無料セミナーや訪問対応の課題相談受付も実施しておりますので、ぜひご活用ください。

Active Directoryセキュリティセミナー
JPCERT/CCの公開資料をもとに解説!ADの攻撃検知対策と対応製品

Active Directory課題相談

>>ManageEngineが提供する「Active Directoryのセキュリティ対策ソリューション」はこちら

 

 



<関連情報>

統合ログ管理/簡易SIEMの現実解!ログ管理の対応レベルと具体的な実施内容

ManageEngine:標的型攻撃の内部対策ソリューション

Active Directory監査レポートソフト「ADAudit Plus」

「ADAudit Plus」無料評価版ダウンロード

特権ID管理ソフト「Password Manager Prp」

「Password Manager Prp」無料評価版ダウンロード

Active Directoryアカウント管理ソフト「ADManager Plus」

「ADManager Plus」無料評価版ダウンロード


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.