【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査

Active Directory環境では、多くの場合ローカル管理者アカウントではなく、ドメイン管理者アカウントを使用されるのではないかと思います。ドメイン管理者アカウントは、ドメイン内の全ての端末にアクセスでき、リソースを参照することができる便利なアカウントであるため、つい多用されがちです。しかし、一方で攻撃者側からすれば、管理者アカウントの情報を窃取することでドメイン内のリソースに自由にアクセスできてしまうため、恰好の的といえるでしょう。そこで、本投稿を読んでくださっている皆さまに質問です。

「管理者アカウントを使用する端末は、きちんと管理されていますか？」

管理者アカウントを複数の端末に対して使用するほど、例えばPass-the-Hash攻撃などで、キャッシュされたパスワード情報が盗まれた際、管理者アカウントの情報が窃取されるリスクが高まります。そのため、管理者アカウントは限定した端末のみに対して使用することが大切です。

JPCERT/CCが2017年7月に公開した資料『ログを活用したActive Directoryに対する攻撃の検知と対策』の「4.3.2. アカウントを利用した端末の妥当性の調査」では、イベントID4624,4625,4768,4769,4776のイベントが記録されたアカウントやクライアント端末を確認し、運用で意図しない認証が行われていないかということを確認する必要があると記載されています。その理由として、管理者アカウントを使用する端末をあらかじめ限定しておいた場合、それ以外の端末から管理者アカウントを使用した不正な認証が行われた際に、検知がしやすくなるからです。一方、管理者アカウントを使用する端末を限定していない場合、悪用されたとしても異常として判断しにくく、検知が遅れてしまう可能性があります。

JPCERT/CCが挙げていた、イベントID4624,4625,4768,4769,4776のイベントをイベントビューアーから確認する場合、カスタム ビュー機能の利用が有効です。一時的にログを確認する場合には、[ セキュリティ ]を右クリックして [ 現在のログをフィルター ]を選択することで、フィルターをかけることも可能ですが、監査は継続的に確認することが求められるため、以下ではカスタム ビュー機能を使用した確認方法についてご案内したいと思います。

■ JPCERT/CC推奨のイベントIDを確認する方法 (イベントビューアー使用時)

1．[ 管理ツール ] > [ イベントビューアー ] を開きます
2．左側のツリーで [ カスタム ビュー ] を選択 > [ 操作 ] ペインの [ カスタム ビュー ] をクリックします

3．[ ログの日付 ] にて任意の期間を選択します
4．[ イベントログ ] にて「セキュリティ」を選択します
5．[ イベントIDを含める/除外する ] にてイベントID”4624,4625,4768,4769,4776″と入力します

6．[ OK ] をクリックします
7．[ 名前 ]、[ 説明 ] を入力後、カスタムビューを保存する場所を選択して[ OK ] をクリックします

このようにカスタム ビューを作成することで、今後は簡単に、監査に必要なイベントIDのログのみを確認することが可能となります。

しかし、JPCERT/CCでは当該イベントIDに対して、以下の管理者アカウントを使用した、複数の端末からの認証要求が行われていないかを監査することを推奨しています。

・Users¥Domain Admins
・Users¥Enterprise Admins
・Users¥Schema Admins
・Builtin¥Backup Operators
・Builtin¥Account Operators
・Builtin¥Administrators

これをイベントビューアーから行おうとした場合、イベントビューアーの [ ユーザー ] 欄を目視で確認する必要があり、その上でクライアント情報と照らし合わせて、運用で意図しない認証が行われていないかを判断していく作業を、毎日延々と繰り返す必要があります。さらに、ログの保存容量も確保しないと古いログがすぐに上書きされてしまい、確認ができなくなるというリスクも考えられます。

このような作業やリスクを回避するため、最後に弊社製品のADAudit Plusを使用した場合の監査方法について、ご紹介したいと思います。

ADAudit Plusは、Active Direcory監査に特化したツールであり、収集したイベントログを解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能です。また、本製品を使用することで、JPCERT/CCが提唱している内容の確認を「簡単」かつ「効率的」に行うことができるようになります。

■ JPCERT/CC推奨のイベントIDを確認する方法 (ADAudit Plus使用時)

「4.3.2. アカウントを利用した端末の妥当性の調査」に対応するレポートとして、ADAudit Plusでは「複数のコンピューターにログオンしたユーザー」というレポートを用意しています。これは、各ユーザーがログオンしたクライアント情報を一覧で表示するもので、管理者アカウントを使用して、本来アクセスが許可されていない端末への認証が行われていないかということを簡単に確認することが可能です。

[ レポート ] > [ ユーザーログオンレポート] > [ 複数のコンピューターにログオンしたユーザー ]

このように、ADAudit Plusを使用することで、JPCERT/CCで求められている監査項目をワンクリックで確認することができ、運用で意図しない不審な動きに気づきやすくなります。また、ADAudit Plusにはリアルタイムのアラート通知機能もありますので、特定のクライアント端末以外に対してドメイン管理者アカウントが使用された際、瞬時にアラートによる通知を行うことも可能です。

もし、ADAudit Plusという製品について、少しでもご興味を持っていただけましたら、「30日間の無料トライアル（評価版）」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

≪ADAudit Plusのダウンロードページ≫
https://www.manageengine.jp/products/ADAudit_Plus/download.html