Reading Time: 1 minutes攻撃者がコンピューターに侵入後、不正なプログラムを実行するために、タスクスケジューラを悪用するケースがあります。タスクスケジューラとは、WindowsOSにて標準搭載されている機能であり、決められた時間、あるいは一定の間隔にて、プログラムやスクリプトを実行することが可能な「タスク管理ツール」です。タスクスケジューラの脆弱性として、2014年9月に「CVE-2015-0098」が報告されており、この脆弱性を利用することで特別に細工されたアプリケーションの実行、および以下の操作を行うことが可能です。 ・ プログラムをインストールする ・ データを表示、変更、削除する... >>続きを読む
JPCERT/CC
【JPCERT/CC提唱】特権をもつアカウントの使用を監視
Reading Time: 1 minutes近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。 図1 高度サイバー攻撃のプロセス 攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive... >>続きを読む
【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(後編)
Reading Time: 1 minutes本投稿の前編では、JPCERT/CCが発行している資料をもとに管理専用端末の必要性についてご説明しました。後編では、弊社製品を使用した場合におけるソリューションについてご紹介します。 Password Manger ProとADAudit Plusを併用した対策... >>続きを読む
【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)
Reading Time: 1 minutesドメイン参加しているコンピューターがドメイン認証を使用してログオンする場合、まずはドメインコントローラーと通信を行い、認証をおこなう必要があります。しかし、外出先などでドメインコントローラーにアクセスできない環境の場合でも、一時的にドメインユーザーを使用して端末にログオンすることができるように、Windowsではログオン資格情報をキャッシュして保持しています。ログオンのキャッシュ機能が有効になっている場合、ログオンに成功したときの資格情報が、デフォルトで10個までキャッシュされます。そして10個を超えた場合、古いものから削除され、常に最新10個の情報が有効となります。 この機能があることにより、ドメインコントローラーと通信ができない環境でも、ドメインユーザーを使用したログオンが可能となります。それは、利用者にとっては便利な機能となりますが、場合によっては危険を伴う可能性があります。例えば、ドメイン参加している端末に不正侵入されてしまった際に、キャッシュ情報から、管理者アカウントの情報まで盗まれてしまうというリスクが考えられます。 そこで、JPCERT/CCでは、管理者アカウントを使用してドメインコントローラーに接続し、管理を行う端末を「管理専用端末」として限定して運用する方法を推奨しています。以下では、JPCERT/CCが提供している資料をもとに管理専用端末設置の必要性についてご説明します。 管理者専用端末設置の必要性 管理者アカウントの認証情報が保持されている端末はサイバー攻撃の対象となりやすいため、管理者専用端末を用意し、管理者アカウントを使用したドメインコントローラーやサーバーの管理を、専用端末に限定する方法が推奨されています。さらに、ファイアウォールやルータなどを使用して、管理専用端末の通信先を制限することで、サイバー攻撃のリスクをより軽減することが可能です。以下の図は、Microsoft社が推奨しているセグメント化の例となります。... >>続きを読む
【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査
Reading Time: 1 minutes Active Directory環境では、多くの場合ローカル管理者アカウントではなく、ドメイン管理者アカウントを使用されるのではないかと思います。ドメイン管理者アカウントは、ドメイン内の全ての端末にアクセスでき、リソースを参照することができる便利なアカウントであるため、つい多用されがちです。しかし、一方で攻撃者側からすれば、管理者アカウントの情報を窃取することでドメイン内のリソースに自由にアクセスできてしまうため、恰好の的といえるでしょう。そこで、本投稿を読んでくださっている皆さまに質問です。 「管理者アカウントを使用する端末は、きちんと管理されていますか?」 管理者アカウントを複数の端末に対して使用するほど、例えばPass-the-Hash攻撃などで、キャッシュされたパスワード情報が盗まれた際、管理者アカウントの情報が窃取されるリスクが高まります。そのため、管理者アカウントは限定した端末のみに対して使用することが大切です。... >>続きを読む
【JPCERT/CC提唱】認証回数の調査をADAudit Plusで効率的に実現
Reading Time: 1 minutes 近年、多くの企業ではActive Directoryを導入しておりますが、それに伴いActive Direcoryのドメイン管理者アカウントが狙われるケースが増加しています。ドメイン管理者アカウントの認証情報を奪われた場合、機密情報の窃取やバックドアの作成などが簡単に出来てしまうため、企業側としては何としても避けたいことであり、その兆候はできる限り早く、気が付きたいものではないかと思います。 JPCERTコーディネーションセンター(以下、JPCERT/CC)では、ドメイン管理者アカウントの不正使用により、内部ネットワークに長期間に渡って潜伏し、情報窃取などが行われる攻撃を複数確認しており、注意喚起を行っています。JPCERT/CCが2017年7月に公開した資料「ログを活用したActive... >>続きを読む
「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介
Reading Time: 1 minutes 本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。 1. 「MS14-068」とはどのような脆弱性なのか... >>続きを読む
【JPCERT/CC提唱】イベントログ消去の監査に対する必要性
Reading Time: 1 minutes JPCERT/CCが2017年3月に発行した資料「ログを活用したActive Directoryに対する攻撃の検知と対策」では、高度標的型攻撃への対策として、Active Directoryに対する代表的な攻撃手法や、その攻撃を検知するためのログの確認ポイントが記されています。本投稿では、その中の項目4.2.4にて記載されている「イベントログ消去の調査」が、なぜ必要とされるかという「監査目的」、さらに、監査を行うためのツールとして、弊社製品ADAudit Plusを使用した場合の「監査方法」についてご紹介していきます。... >>続きを読む