Reading Time: 1 minutes
近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。
図1 高度サイバー攻撃のプロセス
攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive Directory環境への攻撃を行うことが可能です。なお、脆弱性(MS14-068)については、以下のブログ記事にてご紹介していますので、興味のある方は、ご一読いただければと思います。
▶「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介
1.特権をもつアカウントの使用を監視する方法
ドメイン管理者権限などの、特権が割り当てられているアカウントが使用された場合、イベントID 4672が記録されます。意図していないアカウントに対して、このイベントログが出力されていた場合、MS14-068の脆弱性が悪用され、攻撃者が不正に権限昇格をおこなったことが考えられるため、攻撃検知のための監査対象として有効です。
図2 イベントID4672のイベントログ
以下では、イベントID 4672を出力するための監査ポリシーの設定手順についてご案内します。
≪イベントログ出力のために必要な監査ポリシーの設定≫
コンピューターの構成 > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 監査ポリシー > ログオン/ログオフ > 特殊なログオンの監査 > [成功] にチェック
図3 監査ポリシーの設定
JPCERT/CC(※)が公開した文章「ログを活用したActive Directoryに対する攻撃の検知と対策」では、特権を割り当てていないアカウントに対してイベントID 4672のログが出力されていた場合、攻撃者が不正に権限昇格を行っている可能性があると判断し、アカウントを無効化するとともに、アカウントを使用している端末を調査することを推奨しています。
※JPCERT/CC・・インターネットを介して発生するコンピューターセキュリティについての情報を収集し、日本国内に関する報告の受け付け、対応の支援、発生状況の把握、再発防止のための対策の検討や助言などを行なう一般社団法人
なお、イベントID 4672はコンピューターアカウントに対しても出力されるため、環境によっては、短期間で大量のイベントログが出力される場合があります。そのため、ユーザーに対するログのみを効率的に監査するための手段として、最後に弊社製品ADAudit Plusをご紹介したいと思います。
2.ADAudit Plusを使用したイベントID 4672のログ監査
ADAudit Plusとは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。また、本製品はJPCERT/CCなどが監査を推奨しているイベントログへの対応を積極的に行っており、最新ビルド5050では、「ログを活用したActive Directoryに対する攻撃の検知と対策」にて監査が推奨されているイベントログの収集に対応しました。
▶ JPCERT/CC推奨のイベントログ監査に対応!Microsoft推奨のイベントログ監査にも役立つ「ADAudit Plus」
ADAudit PlusからイベントID 4672を監査する場合、 [プロファイル別レポート] > [ローカル ログオン/ログオフ] > [新しいログオンに割り当てられた特別な権限] から確認することが可能です。
図4 [新しいログオンに割り当てられた特別な権限]レポート
また、ADAudit Plusでは、自動的にコンピューターアカウントによるログオンイベントを除外して表示するため、ユーザーアカウントを対象としたログのみを、「簡単」かつ「グラフィカル」に確認することができます。さらに、リアルタイム・アラート機能を使用することで、ログが生成された瞬間にシステム管理者へ通知を行うことも可能です。
もし、ADAudit Plusについて、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。