ADAudit Plus

ゾーホージャパンのManageEngine ADAudit Plusは、Active Directory管理者の変更操作チェック、IT統制、J-SOX対応の業務負荷軽減に貢献する、AD監査レポートツールです。 Visit:

【JPCERT/CC提唱】不審なタスク作成の調査

この記事の所要時間: 約 3分

攻撃者がコンピューターに侵入後、不正なプログラムを実行するために、タスクスケジューラを悪用するケースがあります。タスクスケジューラとは、WindowsOSにて標準搭載されている機能であり、決められた時間、あるいは一定の間隔にて、プログラムやスクリプトを実行することが可能な「タスク管理ツール」です。タスクスケジューラの脆弱性として、2014年9月に「CVE-2015-0098」が報告されており、この脆弱性を利用することで特別に細工されたアプリケーションの実行、および以下の操作を行うことが可能です。

・ プログラムをインストールする
・ データを表示、変更、削除する
・ 管理者権限をもつアカウントを作成する

上記のような不正な操作を検知するための手段として、不審なタスクが生成されていないことを、定期的にタスクスケジューラにて確認する方法があります。以下では、設定されているタスクの確認方法についてご案内します。

 

1.タスクスケジューラの確認方法

1) スタート > 管理ツール > タスクスケジューラ を開きます。

2) タスク スケジューラ ライブラリ をクリックします。

3) 現在設定されているタスクスケジューラの一覧を確認することが可能です。なお、タスク スケジューラ ライブラリから確認できる内容は下記の通りです。

・ 名前
・ 状態
・ トリガー
・ 次回の実行時刻
・ …

ADAudit Plus 1 min read

【JPCERT/CC提唱】特権をもつアカウントの使用を監視

この記事の所要時間: 約 3分

近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。

図1 高度サイバー攻撃のプロセス

 

攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive Directory環境への攻撃を行うことが可能です。なお、脆弱性(MS14-068)については、以下のブログ記事にてご紹介していますので、興味のある方は、ご一読いただければと思います。

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

 

1.特権をもつアカウントの使用を監視する方法

ドメイン管理者権限などの、特権が割り当てられているアカウントが使用された場合、イベントID 4672が記録されます。意図していないアカウントに対して、このイベントログが出力されていた場合、MS14-068の脆弱性が悪用され、攻撃者が不正に権限昇格をおこなったことが考えられるため、攻撃検知のための監査対象として有効です。

図2 イベントID4672のイベントログ

 

以下では、イベントID 4672を出力するための監査ポリシーの設定手順についてご案内します。

≪イベントログ出力のために必要な監査ポリシーの設定≫

コンピューターの構成 > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 
監査ポリシー > ログオン/ログオフ > 特殊なログオンの監査 > [成功] にチェック
図3 監査ポリシーの設定

 …

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(後編)

この記事の所要時間: 約 1分

 

本投稿の前編では、イベントビューアーを使用したログオン認証の監査方法についてご案内しましたが、後編では、弊社製品ADAudit Plusを使用した場合の確認方法についてご紹介します。


イベントビューアーを使用したログオン認証イベントの確認方法

ADAudit Plusには、200以上の定義済みレポートがあると記載しましたが、ドメイン認証を使用したログオンに関するレポートとしては、以下の15つをご用意しています。


一覧からお分かりいただける通り、一言に「ログオンレポート」といっても様々な観点でのレポートがあり、ログオン失敗理由別、ドメインコントローラー別、ユーザー別と確認することが可能となっています。

各レポートからは、「いつ」「誰が」「どこから」ログオンしたのか、失敗の場合は「なぜ失敗したのか」という詳細な内容まで確認することができ、さらに、ADAudit Plus側でコンピューターアカウントによるログオンイベントは自動で除外するため、純粋にユーザーによるログオン認証イベントを確認することが可能です。

▼ ログオン監査機能を動画で紹介

イベントビューアーから確認する場合は、フィルターをかけたうえで、さらに一つ一つ目で見て判断を行う必要がありました。しかし、ADAudit Plusはそれらをすべて自動で行ってくれるため、システム管理者は複雑な作業の一切を行う必要がなく、ADAudit Plusにログインし、レポート名をクリックするだけで、監査を行うことが可能となるのです。

もし、ADAudit Plusという製品について、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

▶ ADAudit Plus ダウンロードページ

 

前編へ移動 >> Active Directoryのログオン認証を監査するには(前編)

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(前編)

この記事の所要時間: 約 3分

Windows 9x系のOSでは、ユーザー名とパスワードの入力が必須ではなく、Escキーを押すことで、省略してログオンすることができました。それは、Windows 9x系のOSが個人での利用を前提につくられており、本人以外が使用する可能性、およびそこへの配慮が重要視されていなかったためです。しかし、企業でのコンピューターの使用が一般的となっている現代では、複数の人が同じコンピューターを使用する場合もあれば、ネットワーク越しに不正にコンピューターへアクセスされ、社内の情報が奪取されるという場合もあります。このような状況において、誰もがコンピューターにログオンできるという状態はまず避けなければいけないことであり、安全な使用のためには、コンピューターへログオンするアカウントの管理、および不審なログオン認証が行われていないかの監査が必要とされています。

ワークグループ環境の場合、各コンピューターが独立して存在しているため、管理や監査が困難となります。例えば、運用ポリシーに則った適切なパスワードが設定されているか、パスワードが定期的に変更されているか、といったことを把握しようとした場合、システム管理者は一台一台の設定状況を確認する必要があります。そこで、ある程度のネットワークの規模が大きくなる場合は、Active Directory環境で管理することにより、効率的にユーザーの認証・管理を行うことができます。なお、Active Directoryの概要や必要性については、以下のブログ記事にてご案内しておりますので、興味のある方は、ご一読いただければと思います。

【 連載:ADについて学ぼう 】

では、Active Directory環境において、意図したアカウントによるログオンが行われているか、不審なログオン失敗の履歴が存在していないかということを確認するためには、どうすればよいでしょうか。本投稿の前編では、イベントビューアーを使用した確認方法について、ご案内していきたいと思います。


イベントビューアーを使用したログオン認証イベントの確認方法

 

Active Directory環境において、ユーザーがログオンすると、認証情報がドメインコントローラーに送られ、認証情報の検証を行います。そして、ドメインコントローラー側で認証データが正しいことが確認できた場合はチケットが発行され、今後クライアントは、このチケットを使用してリソースにアクセスすることができるようになります。ログオンの成功・失敗を決定する、この「事前認証」の結果は、以下のイベントIDにて、イベントビューアー上に出力されます。

4768

Kerberos 認証チケット (TGT) が要求されました。

4771

Kerberos 事前認証に失敗しました。

4772

Kerberos 認証チケット要求が失敗しました。

≪イベントログ出力のために必要な監査ポリシーの設定≫

[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > 

ADAudit Plus 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(後編)

この記事の所要時間: 約 2分

 

本投稿の前編では、JPCERT/CCが発行している資料をもとに管理専用端末の必要性についてご説明しましたが、後編では、弊社製品を使用した場合におけるソリューションについてご紹介します。

 

Password Manger ProとADAudit Plusを併用した対策

 
Password Manger Proとは、特権ID利用時の「申請/承認フロー」「操作画面の録画」「パスワードの非表示運用/自動更新」機能などを提供するツールであり、本製品を踏み台としてITリソースへアクセスすることで、特権IDへのアクセス経路を一本化することが可能です。今回の場合、特権IDとは管理者アカウント(例:Administrator)を指しますが、管理者アカウントを使用したドメインコントローラーへのアクセスをPassword Manger Proサーバーに限定し、管理専用端末として位置付けることで、JPCERT/CCが提唱しているような運用を可能とします。また、Password Manger Proを踏み台としてドメインコントローラーへアクセスすることで、操作内容はすべて動画として記録されるため、内部からドメインコントローラーに対して怪しい操作をしていないかということを、後ほど簡単に確認することができます。

▼ Password Manger Proの申請/承認ワークフロー

このように、管理専用端末としてPassword Manger Proサーバを設置することにより、そこからのドメインコントローラーへのアクセスが「本来の挙動」となり、それ以外のサーバーからのドメインコントローラーへのアクセスは「不審な挙動」となります。この「不審な挙動」については、ログ監査ツールのADAudit Plusを使用して検知を行います。

図2 Password Manger ProとADAudit Plusを用いた運用ルール

ADAudit Plusは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。本製品を使用して不審な挙動を検知する場合、以下の2つの方法が挙げられます。…

ADAudit Plus , Password Manager Pro 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)

この記事の所要時間: 約 2分

ドメイン参加しているコンピューターがドメイン認証を使用してログオンする場合、まずはドメインコントローラーと通信を行い、認証をおこなう必要があります。しかし、外出先などでドメインコントローラーにアクセスできない環境の場合でも、一時的にドメインユーザーを使用して端末にログオンすることができるように、Windowsではログオン資格情報をキャッシュして保持しています。ログオンのキャッシュ機能が有効になっている場合、ログオンに成功したときの資格情報が、デフォルトで10個までキャッシュされます。そして10個を超えた場合、古いものから削除され、常に最新10個の情報が有効となります。

この機能があることにより、ドメインコントローラーと通信ができない環境でも、ドメインユーザーを使用したログオンが可能となります。それは、利用者にとっては便利な機能となりますが、場合によっては危険を伴う可能性があります。例えば、ドメイン参加している端末に不正侵入されてしまった際に、キャッシュ情報から、管理者アカウントの情報まで盗まれてしまうというリスクが考えられます。

そこで、JPCERT/CCでは、管理者アカウントを使用してドメインコントローラーに接続し、管理を行う端末を「管理専用端末」として限定して運用する方法を推奨しています。以下では、JPCERT/CCが提供している資料をもとに管理専用端末設置の必要性についてご説明します。

 

管理者専用端末設置の必要性

管理者アカウントの認証情報が保持されている端末はサイバー攻撃の対象となりやすいため、管理者専用端末を用意し、管理者アカウントを使用したドメインコントローラーやサーバーの管理を、専用端末に限定する方法が推奨されています。さらに、ファイアウォールやルータなどを使用して、管理専用端末の通信先を制限することで、サイバー攻撃のリスクをより軽減することが可能です。以下の図は、Microsoft社が推奨しているセグメント化の例となります。

図1 セグメント化の例

 

● DCセグメント
ドメインコントローラーおよびドメイン管理者権限を使用する端末(管理専用端末)だけを設置
● サーバセグメント
インターネットに公開しない重要なサーバおよび各サーバの管理専用端末だけを設置
● クライアントセグメント
一般ユーザが使用する業務用端末を設置

※ JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

しかし、セグメントごとにファイアウォールを設置し、それぞれをきちんと管理していくことは、すべての企業にとって容易なことではありません。そこで、JPCERT/CCの資料には、補足として以下の内容が記載されています。

前提条件を満たすのが難しい場合は、運用ルールで制限することによって一定の効果が期待できる
注)前提条件‥ファイアウォールやルータを使用して、管理専用端末からのインターネット接続を必要最小限に制限する

 

弊社では、「運用ルールで制限」という部分について、特権ID管理ツールであるPassword Manger Proと、ログの監査ツールであるADAudit Plus

ADAudit Plus , Password Manager Pro 1 min read

【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査

この記事の所要時間: 約 4分

 

Active Directory環境では、多くの場合ローカル管理者アカウントではなく、ドメイン管理者アカウントを使用されるのではないかと思います。ドメイン管理者アカウントは、ドメイン内の全ての端末にアクセスでき、リソースを参照することができる便利なアカウントであるため、つい多用されがちです。しかし、一方で攻撃者側からすれば、管理者アカウントの情報を窃取することでドメイン内のリソースに自由にアクセスできてしまうため、恰好の的といえるでしょう。そこで、本投稿を読んでくださっている皆さまに質問です。

「管理者アカウントを使用する端末は、きちんと管理されていますか?」

管理者アカウントを複数の端末に対して使用するほど、例えばPass-the-Hash攻撃などで、キャッシュされたパスワード情報が盗まれた際、管理者アカウントの情報が窃取されるリスクが高まります。そのため、管理者アカウントは限定した端末のみに対して使用することが大切です。

JPCERT/CCが2017年7月に公開した資料『ログを活用したActive Directoryに対する攻撃の検知と対策』の「4.3.2. アカウントを利用した端末の妥当性の調査」では、イベントID4624,4625,4768,4769,4776のイベントが記録されたアカウントやクライアント端末を確認し、運用で意図しない認証が行われていないかということを確認する必要があると記載されています。その理由として、管理者アカウントを使用する端末をあらかじめ限定しておいた場合、それ以外の端末から管理者アカウントを使用した不正な認証が行われた際に、検知がしやすくなるからです。一方、管理者アカウントを使用する端末を限定していない場合、悪用されたとしても異常として判断しにくく、検知が遅れてしまう可能性があります。

JPCERT/CCが挙げていた、イベントID4624,4625,4768,4769,4776のイベントをイベントビューアーから確認する場合、カスタム ビュー機能の利用が有効です。一時的にログを確認する場合には、[ セキュリティ ]を右クリックして [ 現在のログをフィルター ]を選択することで、フィルターをかけることも可能ですが、監査は継続的に確認することが求められるため、以下ではカスタム ビュー機能を使用した確認方法についてご案内したいと思います。

■ JPCERT/CC推奨のイベントIDを確認する方法 (イベントビューアー使用時)

1.[ 管理ツール ] > [ イベントビューアー ] を開きます
2.左側のツリーで [ カスタム ビュー …

ADAudit Plus 1 min read

【JPCERT/CC提唱】認証回数の調査をADAudit Plusで効率的に実現

この記事の所要時間: 約 4分

 

近年、多くの企業ではActive Directoryを導入しておりますが、それに伴いActive Direcoryのドメイン管理者アカウントが狙われるケースが増加しています。ドメイン管理者アカウントの認証情報を奪われた場合、機密情報の窃取やバックドアの作成などが簡単に出来てしまうため、企業側としては何としても避けたいことであり、その兆候はできる限り早く、気が付きたいものではないかと思います。

JPCERTコーディネーションセンター(以下、JPCERT/CC)では、ドメイン管理者アカウントの不正使用により、内部ネットワークに長期間に渡って潜伏し、情報窃取などが行われる攻撃を複数確認しており、注意喚起を行っています。JPCERT/CCが2017年7月に公開した資料「ログを活用したActive Directoryに対する攻撃の検知と対策」では、ドメイン管理者アカウントの悪用を検知する方法の一つとして、「認証回数の調査」(章4.3.3)が挙げられています。

確認事項 イベント ID 4624,4625,4768, 4769, 4776の認証イベントについて、アカウント、認証要求端末ごとの認証回数の推移を、以下の観点で確認する。意図しない認証が確認された場合は、アカウントが侵害されている可能性がある。
・ システム利用以外に繰り返し定常的に認証が行われていないか
・ 休日などアカウントが使用されていないはずの期間に認証が行わせていないか
・ 継続的に見て認証回数に急激な変化がないか
・ 認証失敗が多数発生していないか
※ JPCERT/CC 『ログを活用したActive Direcoryに対する攻撃の検知と対策』より参照

 

ここで求められているのが、認証回数を継続的に見たときに、大きな変化がないかということです。そして、大きな変化に気が付くためには、常日頃から認証ログの生成数を把握しておくことが求められます。これをツールを使用しないで行う場合、イベントビューアーでフィルターをかけて確認し、集計するか、あるいはPowershellで必要な情報を定期的に抽出し集計する、といった方法が挙げられますが、それには以下のような問題が考えられます。

JPCERT/CCなどにより、ログの監査が積極的に求められるようになってきた昨今では、このように

「異常がないか監視したいが、毎日のログ監査のためにそこまで多くの時間をかける余裕がない・・」

という悩みをもつ企業様は、多くいらっしゃるのではないかと思います。そのような悩みをもつ方は、是非、弊社製品のADAudit Plusを検討いただければと思います。

ADAudit

ADAudit Plus 1 min read

【JPCERT/CC提唱】イベントログ消去の監査に対する必要性

この記事の所要時間: 約 2分

 

JPCERT/CCが2017年3月に発行した資料「ログを活用したActive Directoryに対する攻撃の検知と対策」では、高度標的型攻撃への対策として、Active Directoryに対する代表的な攻撃手法や、その攻撃を検知するためのログの確認ポイントが記されています。本投稿では、その中の項目4.2.4にて記載されている「イベントログ消去の調査」が、なぜ必要とされるかという「監査目的」、さらに、監査を行うためのツールとして、弊社製品ADAudit Plusを使用した場合の「監査方法」についてご紹介していきます。

1.「イベントログ消去の調査」の監査目的

 

図1 イベントログの消去

 

攻撃者が攻撃を試行した際には、多くの場合、攻撃を受けた側に何かしらの痕跡が残ります。例えば、有名な攻撃の一つに「Pass the Hash攻撃」というものがあり、これは認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行う、なりすまし攻撃のことを言います。このPass the Hash攻撃を受けたクライアント側では、以下のイベントログが生成されます。

イベントID:4624
ログオンタイプ:3
パッケージ名:NTLMv2

「イベントID4624」「ログオンタイプ3」は、ログオン成功イベントの際に生成されるものですが、注目すべきは、パッケージ名がKerberosではなく「NTLMv2」なっている点です。通常、Active Directoryのドメイン認証には、Kerberosプロトコルが使用されるため、パッケージ名は「Kerberos」となります。しかし、ドメインコントローラーのイベントログに、「NTLMv2」が使用されたログオンイベントが存在していた場合、Pass the Hash攻撃を受けた可能性がある、と考えられます。このように、イベントビューアー上に僅かでも痕跡が残ることは、攻撃が発覚されてしまうリスクを高めることにつながります。そのため、攻撃者は攻撃後、すぐにイベントログを消去するという行動をとる場合があります。この痕跡の隠蔽を見逃さないために、イベントログの消去を監査することが求められているのです。

 

2.「イベントログ消去の調査」の監査方法

イベントログが消去された際に、イベントID1102が生成されます。しかし、常にイベントビューアーにて、イベントID1102が生成されていないかを監視するのは、非効率的かつ見過ごしが発生する可能性があります。そこで、弊社製品ADAudit Plusでは、200の定義済みレポートの中に、イベントログ消去に関するレポートをご用意しており、「いつ」「誰が」「どこから」イベントログの消去を行ったのかという履歴を簡単に確認することが可能です。

図2 システム監査ログのクリア

 

また、ADAudit

ADAudit Plus 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read