Latest Posts

【JPCERT/CC提唱】特権をもつアカウントの使用を監視

この記事の所要時間: 約 3分

近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。

図1 高度サイバー攻撃のプロセス

 

攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive Directory環境への攻撃を行うことが可能です。なお、脆弱性(MS14-068)については、以下のブログ記事にてご紹介していますので、興味のある方は、ご一読いただければと思います。

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

 

1.特権をもつアカウントの使用を監視する方法

ドメイン管理者権限などの、特権が割り当てられているアカウントが使用された場合、イベントID 4672が記録されます。意図していないアカウントに対して、このイベントログが出力されていた場合、MS14-068の脆弱性が悪用され、攻撃者が不正に権限昇格をおこなったことが考えられるため、攻撃検知のための監査対象として有効です。

図2 イベントID4672のイベントログ

 

以下では、イベントID 4672を出力するための監査ポリシーの設定手順についてご案内します。

≪イベントログ出力のために必要な監査ポリシーの設定≫

コンピューターの構成 > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 
監査ポリシー > ログオン/ログオフ > 特殊なログオンの監査 > [成功] にチェック
図3 監査ポリシーの設定

 …

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(後編)

この記事の所要時間: 約 1分

 

本投稿の前編では、イベントビューアーを使用したログオン認証の監査方法についてご案内しましたが、後編では、弊社製品ADAudit Plusを使用した場合の確認方法についてご紹介します。


イベントビューアーを使用したログオン認証イベントの確認方法

ADAudit Plusには、200以上の定義済みレポートがあると記載しましたが、ドメイン認証を使用したログオンに関するレポートとしては、以下の15つをご用意しています。


一覧からお分かりいただける通り、一言に「ログオンレポート」といっても様々な観点でのレポートがあり、ログオン失敗理由別、ドメインコントローラー別、ユーザー別と確認することが可能となっています。

各レポートからは、「いつ」「誰が」「どこから」ログオンしたのか、失敗の場合は「なぜ失敗したのか」という詳細な内容まで確認することができ、さらに、ADAudit Plus側でコンピューターアカウントによるログオンイベントは自動で除外するため、純粋にユーザーによるログオン認証イベントを確認することが可能です。

▼ ログオン監査機能を動画で紹介

イベントビューアーから確認する場合は、フィルターをかけたうえで、さらに一つ一つ目で見て判断を行う必要がありました。しかし、ADAudit Plusはそれらをすべて自動で行ってくれるため、システム管理者は複雑な作業の一切を行う必要がなく、ADAudit Plusにログインし、レポート名をクリックするだけで、監査を行うことが可能となるのです。

もし、ADAudit Plusという製品について、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

▶ ADAudit Plus ダウンロードページ

 

前編へ移動 >> Active Directoryのログオン認証を監査するには(前編)

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(前編)

この記事の所要時間: 約 3分

Windows 9x系のOSでは、ユーザー名とパスワードの入力が必須ではなく、Escキーを押すことで、省略してログオンすることができました。それは、Windows 9x系のOSが個人での利用を前提につくられており、本人以外が使用する可能性、およびそこへの配慮が重要視されていなかったためです。しかし、企業でのコンピューターの使用が一般的となっている現代では、複数の人が同じコンピューターを使用する場合もあれば、ネットワーク越しに不正にコンピューターへアクセスされ、社内の情報が奪取されるという場合もあります。このような状況において、誰もがコンピューターにログオンできるという状態はまず避けなければいけないことであり、安全な使用のためには、コンピューターへログオンするアカウントの管理、および不審なログオン認証が行われていないかの監査が必要とされています。

ワークグループ環境の場合、各コンピューターが独立して存在しているため、管理や監査が困難となります。例えば、運用ポリシーに則った適切なパスワードが設定されているか、パスワードが定期的に変更されているか、といったことを把握しようとした場合、システム管理者は一台一台の設定状況を確認する必要があります。そこで、ある程度のネットワークの規模が大きくなる場合は、Active Directory環境で管理することにより、効率的にユーザーの認証・管理を行うことができます。なお、Active Directoryの概要や必要性については、以下のブログ記事にてご案内しておりますので、興味のある方は、ご一読いただければと思います。

【 連載:ADについて学ぼう 】

では、Active Directory環境において、意図したアカウントによるログオンが行われているか、不審なログオン失敗の履歴が存在していないかということを確認するためには、どうすればよいでしょうか。本投稿の前編では、イベントビューアーを使用した確認方法について、ご案内していきたいと思います。


イベントビューアーを使用したログオン認証イベントの確認方法

 

Active Directory環境において、ユーザーがログオンすると、認証情報がドメインコントローラーに送られ、認証情報の検証を行います。そして、ドメインコントローラー側で認証データが正しいことが確認できた場合はチケットが発行され、今後クライアントは、このチケットを使用してリソースにアクセスすることができるようになります。ログオンの成功・失敗を決定する、この「事前認証」の結果は、以下のイベントIDにて、イベントビューアー上に出力されます。

4768

Kerberos 認証チケット (TGT) が要求されました。

4771

Kerberos 事前認証に失敗しました。

4772

Kerberos 認証チケット要求が失敗しました。

≪イベントログ出力のために必要な監査ポリシーの設定≫

[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > 

ADAudit Plus 1 min read

最小限の作業負荷でCMDBを構築するための3ステップ

この記事の所要時間: 約 7分
CMDB構築の3ステップ_トップ画像

CMDBの構築を複雑に考えてはダメ!の図

■ はじめに

ビジネスが拡大するにつれ浮かび上がる社内ITサービスの「品質問題」。品質の低下を引き起こす原因のひとつに資産管理があります。たとえば、従業員数の増加に伴う保有IT資産数の増加です。数が増えれば増えるほどすべてのIT資産がどこで、どのように運用されているのかを正確に把握することは容易ではなくなります。

しかし、難しいからとIT資産の管理者は管理を放棄することはできず、サーバー統合などで複雑化する資産の状況を把握し、故障・サービスの停滞・セキュリティに関する警告などが発生した場合に備え、業務にどのような影響があるのかをあらかじめ可視化しておく必要があります。組織内のITネットワークや資産の運用状況を把握しておらず、資産が他の資産とどのように関係しているかを明確にできないIT運用管理の現場には、障害発生時の影響範囲を即座に特定できない、脆弱性を含みウィルスのターゲットになる恐れのある端末が社内にどれほどあるか把握できていないなどさまざまな危険が潜んでいることは明白です。そこで、これらの危険の軽減を期待できるのが構成管理プロセスの活用です。もともとデータセンターなどで利用されることの多かった構成管理データベース(CMDB)を一般企業でも応用できればIT資産管理の複雑さの解決につながるでしょう。

では、データセンターではない企業が構成管理プロセスをIT資産管理に適用するにはどうすればよいのでしょうか?残念ながら、CMDBの実装を試みて失敗したという話は枚挙に暇がありません。本記事では、CMDBの実装を成功させるためのより簡単な方法について紹介しながら、その他のITへの活用や展開についても言及します。

 

■ CMDBのいろは

CMDBConfiguration Management Databaseの略称で、日本では構成管理データベースとも呼ばれています。 各アイテムの所有者情報や他のアイテムとの依存関係などの重要な情報とともに、必須アイテムのアップタイム、サービスの品質、ユーザーなどへの影響がCMDBに保管されます。 CMDBの機能は次の役割を果たします。

  • 組織内のすべてのIT資産とその構成を明確にする
  • 組織内の実際の構成情報に照らし合わせた構成情報を維持・管理する
  • 正しい構成情報でI Tサービスマネジメントプロセスを支援する

CMDBの目的は、ITサービス管理における正しい決断をするための正しい情報を提供することです。どんな状況でも決断するためには情報収集が必要なように、ITにおいてなんらかのアクションがなされるとき、その背景には必ず決断を促す情報が必要とされます。情報やデータなしの決断は根拠のない直感や当て推量でしかありません。直感で打った球がホームランになる確率が低いのと同様、正しい決断には、正しい裏付けデータが必要なのです。 ITにおいても効果的な決断を下すためには、正しい情報源から正しいデータを参照する必要があります。そして、その正しい情報源となるのがCMDBなのです。ここで、CMDBを構築していなかったとある会社の事例を見てみましょう。

ある日、A社ではインターネット接続の問題が発生しました。 分析の結果、監視ツールを導入するために従業員の1人がファイアーウォール内のポートを開け閉めしていたことが分かりました。 彼はファイアーウォールに2つの主要リンクが繋がっていることを知らなかった ため、ポートを閉じることで業務に与える影響を予測できませんでした。 この小さなインシデントは、結果的に、社内の半数もの人たちがインターネットに接続できなくなるという事態をもたらしました。 ポートを閉じてしまった従業員も、構成アイテムが業務に及ぼす影響を事前に 把握できていれば、より良い対応方法を選択できたでしょう。つまり、適切なCMDBが構築されていれば、インシデントの発生を回避できたのです。

 

■ CMDBの構築は難しい?

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(後編)

この記事の所要時間: 約 2分

 

本投稿の前編では、JPCERT/CCが発行している資料をもとに管理専用端末の必要性についてご説明しましたが、後編では、弊社製品を使用した場合におけるソリューションについてご紹介します。

 

Password Manger ProとADAudit Plusを併用した対策

 
Password Manger Proとは、特権ID利用時の「申請/承認フロー」「操作画面の録画」「パスワードの非表示運用/自動更新」機能などを提供するツールであり、本製品を踏み台としてITリソースへアクセスすることで、特権IDへのアクセス経路を一本化することが可能です。今回の場合、特権IDとは管理者アカウント(例:Administrator)を指しますが、管理者アカウントを使用したドメインコントローラーへのアクセスをPassword Manger Proサーバーに限定し、管理専用端末として位置付けることで、JPCERT/CCが提唱しているような運用を可能とします。また、Password Manger Proを踏み台としてドメインコントローラーへアクセスすることで、操作内容はすべて動画として記録されるため、内部からドメインコントローラーに対して怪しい操作をしていないかということを、後ほど簡単に確認することができます。

▼ Password Manger Proの申請/承認ワークフロー

このように、管理専用端末としてPassword Manger Proサーバを設置することにより、そこからのドメインコントローラーへのアクセスが「本来の挙動」となり、それ以外のサーバーからのドメインコントローラーへのアクセスは「不審な挙動」となります。この「不審な挙動」については、ログ監査ツールのADAudit Plusを使用して検知を行います。

図2 Password Manger ProとADAudit Plusを用いた運用ルール

ADAudit Plusは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。本製品を使用して不審な挙動を検知する場合、以下の2つの方法が挙げられます。…

ADAudit Plus , Password Manager Pro 1 min read

【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)

この記事の所要時間: 約 2分

ドメイン参加しているコンピューターがドメイン認証を使用してログオンする場合、まずはドメインコントローラーと通信を行い、認証をおこなう必要があります。しかし、外出先などでドメインコントローラーにアクセスできない環境の場合でも、一時的にドメインユーザーを使用して端末にログオンすることができるように、Windowsではログオン資格情報をキャッシュして保持しています。ログオンのキャッシュ機能が有効になっている場合、ログオンに成功したときの資格情報が、デフォルトで10個までキャッシュされます。そして10個を超えた場合、古いものから削除され、常に最新10個の情報が有効となります。

この機能があることにより、ドメインコントローラーと通信ができない環境でも、ドメインユーザーを使用したログオンが可能となります。それは、利用者にとっては便利な機能となりますが、場合によっては危険を伴う可能性があります。例えば、ドメイン参加している端末に不正侵入されてしまった際に、キャッシュ情報から、管理者アカウントの情報まで盗まれてしまうというリスクが考えられます。

そこで、JPCERT/CCでは、管理者アカウントを使用してドメインコントローラーに接続し、管理を行う端末を「管理専用端末」として限定して運用する方法を推奨しています。以下では、JPCERT/CCが提供している資料をもとに管理専用端末設置の必要性についてご説明します。

 

管理者専用端末設置の必要性

管理者アカウントの認証情報が保持されている端末はサイバー攻撃の対象となりやすいため、管理者専用端末を用意し、管理者アカウントを使用したドメインコントローラーやサーバーの管理を、専用端末に限定する方法が推奨されています。さらに、ファイアウォールやルータなどを使用して、管理専用端末の通信先を制限することで、サイバー攻撃のリスクをより軽減することが可能です。以下の図は、Microsoft社が推奨しているセグメント化の例となります。

図1 セグメント化の例

 

● DCセグメント
ドメインコントローラーおよびドメイン管理者権限を使用する端末(管理専用端末)だけを設置
● サーバセグメント
インターネットに公開しない重要なサーバおよび各サーバの管理専用端末だけを設置
● クライアントセグメント
一般ユーザが使用する業務用端末を設置

※ JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

しかし、セグメントごとにファイアウォールを設置し、それぞれをきちんと管理していくことは、すべての企業にとって容易なことではありません。そこで、JPCERT/CCの資料には、補足として以下の内容が記載されています。

前提条件を満たすのが難しい場合は、運用ルールで制限することによって一定の効果が期待できる
注)前提条件‥ファイアウォールやルータを使用して、管理専用端末からのインターネット接続を必要最小限に制限する

 

弊社では、「運用ルールで制限」という部分について、特権ID管理ツールであるPassword Manger Proと、ログの監査ツールであるADAudit Plus

ADAudit Plus , Password Manager Pro 1 min read

未知なるランサムウェアから身を守るための3つの手段

この記事の所要時間: 約 4分

皆様、こんにちワンコ!🐕

週末は実家に帰って愛犬と散歩をするのが大好きな、Desktop Central製品担当のUematsuです!
最近愛犬と共に、狂犬病のワクチン注射を打ちにいったのですが、子犬の頃からワクチン注射を打たれるのが苦手で、病院ではいつもブルブル震えています(笑)とはいえ狂犬病などの予防のためにワクチンを打たないわけにはいかないので、飼い主の私はいつも必死になって病院へ連れて行っております!

雑談はさておき、前回私の記念すべき第1回目の記事として、「ランサムウェアの歴史とこれからのランサムウェア」という記事を投稿いたしましたが、読んで頂けましたでしょうか?
ランサムウェアの歴史から読み取ることができる、今後のランサムウェアの動向について予測した記事になっておりますので、ランサムウェアの今後がどうなるのか気になる方は本記事と併せてご覧ください!(あくまで一個人の主観です)

さて気になる今回の記事は、前回の記事で告知した通り、「未知なるランサムウェアから身を守るための3つの手段」についてご紹介いたします!
一般的にランサムウェアの対策としてあげられるものは以下の4つがあります。

  1. 怪しいメールの開封や怪しいWEBサイトのリンクをクリックしない
  2. ウイルス対策ソフトのパターンファイルの更新
  3. 最新のセキュリティパッチの適用
  4. 定期的なデータのバックアップ

参考:IPA(感染が拡大中のランサムウェアの対策について)

いずれも比較的常識的なことが書いてあるように見えますが、全てをしっかり対策できているかというと、あまり大きな声では言えませんが、全然できていないという方もいらっしゃるのではないでしょうか?

ここで突然ですがクイズです!デデン!
上記4つの中で未知なるランサムウェア対策に適したものが2つありますが、それはいったいどれでしょう!正解は少しスクロールして確認してください!

 

 

 

 

 

 

 

 

 

正解はこちらの2つです!

  • 最新のセキュリティパッチの適用
  • 定期的なデータのバックアップ

企業では現在セキュリティ脅威への対策として、ウイルス対策ソフトやファイアウォールが必ずと言ってよいほど導入されています。しかしながら、これらは既知のランサムウェアに対してのみ有効な手段であり、未知なるランサムウェア対策としては不十分であると言わざるを得ません。その話を踏まえた上で、上記2つがなぜ未知なるランサムウェア対策になり得るのかについてこれからご説明します!…

Desktop Central , セキュリティ , 未分類 1 min read

人が足りない…クレームが減らない…行き詰まった「IT運用」はこうして打開する

この記事の所要時間: 約 7分

■増え続けるIT部門のミッションと悩み

企業経営にITが欠かせないものとなった現在、その運用と管理を行うIT部門に求められる役割は拡大を続けている。

まず、システムの複雑化・増大化が進み、限られた人員で運用管理を行うIT部門の作業負荷は、これまでになく高まっている。さらに近年では、経営へのさらなる貢献がIT部門に期待されるようになった。そのために、自社のビジネス全体を見渡したうえで、効果的なIT戦略を積極的に打ち出していく必要が出てきているのである。

こうした業務範囲の拡大は、今、IT部門には新たな悩みをもたらしている。それが、下の図にまとめたような問題だ。

IT部門が抱える様々な悩み

図1:IT部門が抱える様々な悩み

十分な人材がいない中、日々の運用管理や戦略的取り組みの検討に忙殺され、運用現場の改革が後手に回ることも少なくない。その結果、エンドユーザーからのクレームが減らない、システム障害が減らないといった悩みにつながるケースが少なくない。また、ITが経営にどれだけ貢献できているか、評価される仕組みづくりが進まないことに悩んでいる担当者も少なくないだろう。ビジネスとITの関係を可視化できなければ、優先的に解決すべき課題を特定できず、どれだけのコストや労力を割くべきかの判断も難しくなる。

さらに近年では、大規模災害やパンデミックなどの予期せぬ事象が発生した場合にも、重要なITサービスを継続または早期復旧するため、IT-BCPの策定も重要課題となっている。このように、IT部門の仕事は増えることはあっても減ることはないのだ。

こうした状況を打破するための有効な方策の1つが、「ITIL(Information Technology Infrastructure Library)」の導入である。これは、IT運用管理の成功事例を集めてガイドラインとして書籍化したもの。運用管理上の知識やノウハウが集約されているため、ITILの概念を導入すれば、日々のITサービス業務を標準化でき、組織的な対応が可能になるなど、より効率的・効果的な運用管理の実現を望めるのである。

しかし実際には、ITILを導入したにも関わらず、悩みを解消できなかったという企業が少なくない。また、効果があったと考えている企業でも、ITIL導入によって本来実現できるパフォーマンスを100%引き出せていない可能性もあるのだ。

では、ITIL導入がうまくいかない原因はどこにあり、どのような取り組みによって、効果的な導入が実現できるのだろうか。

 

■なぜ、多くの企業はITIL導入で失敗する?

ニュートンコンサルティング_久野様

ニュートン・コンサルティング株式会社
シニアコンサルタント
久野 陽一郎 氏

「ITILは不完全な形で導入されることが多く、それが、十分な成果につながらない原因となっているのです」と指摘するのは、数多くの企業にITガバナンスに関するコンサルティングを行ってきたニュートン・コンサルティングの久野陽一郎氏である。

ITILは、IT運用管理の実践規範を、きめ細かく、かつ幅広く網羅したもの。これを完全な形で導入できれば、運用管理の効率化はもちろん、課題を発見し、解決・改善につなげるためのPDCAサイクルが確立でき、大きな効果を得ることができる。

「しかし、その詳細にわたる記載内容こそが、実はネックとなるのです。最新版の『ITIL 2011 Edition』全5冊を合わせた厚さは、合計で10㎝にもなります。実に膨大な情報が収められており、詳細についての知識を得やすい一方、すべてを関連づけて理解するには大きな労力が必要です。そのために、運用管理体制の全体像をイメージしにくく、効果につながる導入が難しくなるのです」(久野氏)

そこで、久野氏が提案するのが外部認証を必須としない「ISO20000」の考え方の活用だ。ISO20000は、ITILを基にBSI(英国規格協会)がBS15000として規格化したものを、さらにISO(国際標準化機構)が国際標準規格として策定したもの。カバーする範囲はITILとほぼ同じだが、IT運用管理を行うすべての組織が適用できるように、整えるべき体制がより端的に記載されているのが特徴だ。

「分量も、1部と2部の2冊を合わせても厚さ1㎝程度しかなく、ITILに比べ全体像の把握がしやすくなっています。そこで、まずは『あるべき全体像』をISO20000でイメージし、その上でITILが示す成功事例を『個別プロセス』に適用していく。このように、それぞれの特徴を理解して、上手に併用していくことがポイントになります」(久野氏)

ITILとISO20000の特徴比較

図2:ITILとISO20000の特徴比較
いずれもカバーしている範囲はほぼ同じだが、ITILの内容が詳細なのに対し、ISO20000は内容が簡略化されており、全体像がわかりやすくなっている

いずれもカバーしている範囲はほぼ同じだが、ITILの内容が詳細なのに対し、ISO20000は内容が簡略化されており、全体像がわかりやすくなっている

 

■ITILとISO20000の併用で課題を解決した事例

実際にITILとISO20000を組み合わせて使うことで、課題を解決したケースも存在する。その1つとして久野氏が挙げるのが、金融機関に対して行ったコンサルティング例だ。

このケースでは、IT運用管理に正式な手順が設定されておらず、作業のムダや、対応のばらつきが発生していた。加えて、提供されるITサービスに対する評価が実施されておらず、改善活動のためのPDCAサイクルが回っていないという問題もあったという。「そこでまずは、ISO20000が示す全体像と、当該企業の現状とを照らし合わせてギャップを抽出。今までは課題として認識されていなかった問題点も洗い出し、改善のためのロードマップにまとめました」(久野氏)。

その後、個別のプロセスに関してはITILを参考に、業務プロセスフローの作成、経営の視点からITを統括する責任部門の設置、インシデントへの対応優先度のルール策定、社内で使用される用語の統一などを推進。運用管理を効果的に実施するための体制作りを進めた。「また、一定期間あたりのインシデントの数や、解決に要する時間などに関するKPIも設定。評価の指標を設けることで、IT部門が取り組むべき業務範囲を明確化し、継続的な改善活動にもつなげやすくしました」と久野氏は説明する。…

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

監視ソフトをインストールしたサーバー自身を監視する方法 – 【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

この記事の所要時間: 約 10分

お久しぶりです!あっという間に前回の投稿から一か月が経ってしまいました。
永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」技術担当のゆら(ペンネーム)です。

今回は、一度構築編から離れまして、ZabbixとOpManagerをインストールしたサーバー自身を監視する方法について触れていきたいと思います

とりあえず、2017/11/4の0時頃に、そろそろ次の投稿を手掛けようと思いまして
(時刻については突っ込まないでください…)
最初からしておけばよかったと思いつつ…( ^ω^)

ということで以下の順番でお話を進めていきます。

目次:
[1] Zabbixサーバー自身の監視の開始方法
[2] Zabbixサーバー自身の監視の中身
[3] OpManagerサーバー自身の監視の開始方法
[4] OpManagerサーバー自身の監視の中身


[1] Zabbixでのセルフ監視の開始方法

ではまず、Zabbixにて、セルフ監視を設定していきます!
※デフォルトでは無効でした。

1. まず、Zabbixにログインします。
2.  [設定] > [ホスト]へ移動します。
3. デフォルトで追加されている、「Zabbix sever」が表示されます。

4. 「ステータス」が「無効」になっているので、こちらをクリックして有効化します。

簡単!!(^^)!…

OpManager 2 min read

【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査

この記事の所要時間: 約 4分

 

Active Directory環境では、多くの場合ローカル管理者アカウントではなく、ドメイン管理者アカウントを使用されるのではないかと思います。ドメイン管理者アカウントは、ドメイン内の全ての端末にアクセスでき、リソースを参照することができる便利なアカウントであるため、つい多用されがちです。しかし、一方で攻撃者側からすれば、管理者アカウントの情報を窃取することでドメイン内のリソースに自由にアクセスできてしまうため、恰好の的といえるでしょう。そこで、本投稿を読んでくださっている皆さまに質問です。

「管理者アカウントを使用する端末は、きちんと管理されていますか?」

管理者アカウントを複数の端末に対して使用するほど、例えばPass-the-Hash攻撃などで、キャッシュされたパスワード情報が盗まれた際、管理者アカウントの情報が窃取されるリスクが高まります。そのため、管理者アカウントは限定した端末のみに対して使用することが大切です。

JPCERT/CCが2017年7月に公開した資料『ログを活用したActive Directoryに対する攻撃の検知と対策』の「4.3.2. アカウントを利用した端末の妥当性の調査」では、イベントID4624,4625,4768,4769,4776のイベントが記録されたアカウントやクライアント端末を確認し、運用で意図しない認証が行われていないかということを確認する必要があると記載されています。その理由として、管理者アカウントを使用する端末をあらかじめ限定しておいた場合、それ以外の端末から管理者アカウントを使用した不正な認証が行われた際に、検知がしやすくなるからです。一方、管理者アカウントを使用する端末を限定していない場合、悪用されたとしても異常として判断しにくく、検知が遅れてしまう可能性があります。

JPCERT/CCが挙げていた、イベントID4624,4625,4768,4769,4776のイベントをイベントビューアーから確認する場合、カスタム ビュー機能の利用が有効です。一時的にログを確認する場合には、[ セキュリティ ]を右クリックして [ 現在のログをフィルター ]を選択することで、フィルターをかけることも可能ですが、監査は継続的に確認することが求められるため、以下ではカスタム ビュー機能を使用した確認方法についてご案内したいと思います。

■ JPCERT/CC推奨のイベントIDを確認する方法 (イベントビューアー使用時)

1.[ 管理ツール ] > [ イベントビューアー ] を開きます
2.左側のツリーで [ カスタム ビュー …

ADAudit Plus 1 min read