資格情報アクセス アラート

通常、サイバー攻撃は、権限の低いユーザーなど、アクセス可能なエンティティに対して開始され、攻撃者が貴重な資産にアクセスするまで、すばやく水平展開します。 重要なアセットには、機密性の高いアカウント、管理者メイン、機密性の高いデータがあります。 Microsoft Defender for Identity により、攻撃キル チェーン全体のソースでこのような高度な脅威が識別され、次のフェーズに分類されます。

  1. 偵察と検出アラート
  2. 永続化と特権エスカレーション アラート
  3. 資格情報のアクセス
  4. 横移動アラート
  5. その他のアラート

すべての Defender for Identity セキュリティ アラートの構造とよく使うコンポーネントを理解する方法の詳細については、「セキュリティ アラートを理解する」を参照してください。 真陽性 (TP)無害な真陽性 (B-TP)、および擬陽性 (FP) については、セキュリティ アラートの分類を参照してください。

次のセキュリティ アラートは、Defender for Identity によって検出された、ネットワークにおける資格情報へのアクセス 段階の不審なアクティビティを識別し、修復するのに役立ちます。

資格情報アクセスは、アカウント名やパスワードなどの資格情報を盗むための手法で構成されます。 資格情報の取得に使用される手法には、キーロギングや資格情報のダンプなどがあります。 正当な資格情報を使うことで、敵対者はシステムにアクセスできるようになり、検出されにくくなり、目標の達成に役立つさらなるアカウントを作成する機会が得られます。

ブルート フォース攻撃の疑い (LDAP) (外部 ID 2004)

以前の名前: LDAP単純バインドを使用したブルートフォース攻撃

重大度: 中

説明:

ブルートフォース攻撃では、攻撃者は、少なくとも1つのアカウントの正しいパスワードが見つかるまで、アカウントごとにさまざまなパスワードを使用して認証を試みます。 見つけると、攻撃者はそのアカウントを使用してログインできます。

この検出では、Defender for Identity で多数の簡易結合認証が検出されると、アラートがトリガーされます。 このアラートは、多数のユーザーに対してパスワードの小さなセットを使用して水平方向に実行されるブルート フォース攻撃、少数のユーザーに対する大規模なパスワードセット、または 2 つのオプションの任意の組み合わせで垂直方向に実行されるブルート フォース攻撃を検出します。 アラートは、ドメイン コントローラーおよび AD FS/AD CS のサーバーで実行されているセンサーからの認証イベントに基づいています。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 ブルートフォース (T1110)
MITRE 攻撃サブ手法 パスワード推測 (T1110.001)パスワード スプレー (T1110.003)

防止するための推奨手順:

  1. 組織内では複雑で長いパスワードを徹底します。 こうすることで、今後のブルート フォース攻撃に対して必要な第 1 レベルのセキュリティが実現されます。
  2. 組織内で LDAP クリア テキスト プロトコルが今後使用されないようにします。

ゴールデン チケット使用の疑い (偽造された承認データ) (外部 ID 2013)

以前の名前: 偽造承認データを使用した特権エスカレーション

重大度: 高

説明:

以前のバージョンの Windows Server の既知の脆弱性により、攻撃者は特権属性証明書 (PAC) (ユーザー承認データ (Active Directory ではグループ メンバーシップ) を含む Kerberos チケットのフィールド) を操作し、攻撃者に追加の特権を付与することができます。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 Kerberos チケット盗難または偽造 (T1558)
MITRE 攻撃サブ手法 ゴールデン チケット (T1558.001)

防止するための推奨手順:

  1. Windows Server 2012 R2 までのオペレーティング システムを備えたすべてのドメイン コントローラーが KB3011780 と共にインストールされ、2012 R2 までのすべてのメンバー サーバーとドメイン コントローラーが KB2496930 で最新状態であることを確認します。 詳細については、「シルバー PAC」および「偽造 PAC」を参照してください。

データ保護 API マスター キーの悪意のある要求 (外部 ID 2020)

以前の名前: データ保護の個人情報への悪意のある要求

重大度: 高

説明:

Data Protection API (DPAPI) は、ブラウザー、暗号化されたファイル、およびその他の機密データによって保存されたパスワードを安全に保護するために、Windows によって使用されます。 ドメイン コントローラーは、ドメイン参加している Windows マシンで DPAPI で暗号化されたすべてのシークレットの暗号化を解除するために使用できるバックアップ マスター キーを保持します。 攻撃者はマスター キーを使用して、すべてのドメイン参加マシンで DPAPI によって保護されたシークレットを復号化できます。 この検出では、DPAPI を使ってバックアップ マスター キーが取得されると、Defender for Identity アラートがトリガーされます。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 パスワード ストアからの資格情報 (T1555)
MITRE 攻撃サブ手法 該当なし

ブルート フォース攻撃の疑い (Kerberos、NTLM) (外部 ID 2023)

以前の名前: 疑わしい認証エラー

重大度: 中

説明:

ブルート フォース攻撃では、攻撃者は、正しいパスワードが見つかるまで、または少なくとも 1 つのアカウントに対して機能する大規模なパスワード スプレーで 1 つのパスワードを使用するまで、異なるアカウントで複数のパスワードで認証を試みます。 見つけると、攻撃者は認証されたアカウントを使用してログインします。

この検出では、Kerberos、NTLM、またはパスワード スプレーの使用を使用して多数の認証エラーが発生した場合にアラートがトリガーされます。 Kerberos または NTLM を使用すると、通常、この種の攻撃は水平方向に行われて多数のユーザーに対して少数のパスワードセットを使用するか、数人のユーザーに対して多数のパスワードを使用して垂直的に行われるか、またはこの 2 つの組み合わせで行われます。

パスワード スプレーでは、ドメイン コントローラーから有効なユーザーの一覧を正常に列挙した後、攻撃者は既知のすべてのユーザー アカウント (多くのアカウントに対して 1 つのパスワード) に対して注意深く作成された 1 つのパスワードを試みます。 最初のパスワード スプレーが失敗した場合は、別の慎重に作成したパスワードを使用してもう一度試しますが、通常は次の試行まで 30 分待ちます。 この待機時間により、攻撃者は、ほとんどの時間ベースのアカウント ロックアウトしきい値のトリガーを回避できます。 パスワード スプレーはすぐに攻撃者とペン テスターの両方のお気に入りの技法となりました。 パスワード スプレー攻撃は、組織内の最初の足掛かりを獲得し、その後の横移動を行うために、権限をエスカレートしようとする際に効果的であることが証明されています。 アラートがトリガーされるまでの最小期間は 1 週間です。

ラーニング期間:

1 週間

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 ブルートフォース (T1110)
MITRE 攻撃サブ手法 パスワード推測 (T1110.001)パスワード スプレー (T1110.003)

防止するための推奨手順:

  1. 組織内では複雑で長いパスワードを徹底します。 こうすることで、今後のブルート フォース攻撃に対して必要な第 1 レベルのセキュリティが実現されます。

セキュリティ プリンシパルによる偵察 (LDAP) (外部 ID 2038)

重大度: 中

説明:

セキュリティ プリンシパルの偵察は、攻撃者がドメイン環境に関する重要な情報を取得するために使用されます。 攻撃者がドメイン構造をマップするのに役立つ情報と、攻撃キル チェーンの後の手順で使用する特権アカウントを識別するのに役立ちます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、Active Directory にクエリを実行するために正当な目的と悪意のある目的の両方で使用される最も一般的な方法の 1 つです。 LDAP に重点を置いたセキュリティ プリンシパルの偵察は、Kerberoasting 攻撃の最初のフェーズとして一般的に使用されます。 Kerberoasting 攻撃は、セキュリティ プリンシパル名 (SPN) のターゲット リストを取得するために使用され、攻撃者はチケット許可サーバー (TGS) チケットの取得を試みます。

Defender for Identity で正当なユーザーを正確にプロファイルし、学習できるようにするために、Defender for Identity の展開後の最初の 10 日間は、この種類のアラートはトリガーされません。 Defender for Identity の初期学習フェーズが完了すると、不審な LDAP 列挙のクエリ、または機密性の高いグループに対する以前は観察されていなかった方法でのクエリを実行するコンピューターについて、アラートが生成されます。

ラーニング期間:

コンピューターから観察された最初のイベントの日から開始して、コンピューターごとに 15 日。

MITRE:

MITRE の主要な戦術 検出 (TA0007)
セカンダリ MITRE の戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 アカウントの検出 (T1087)
MITRE 攻撃サブ手法 ドメイン アカウント (T1087.002)

Kerberoasting 固有に推奨される防止手順:

  1. サービス プリンシパル アカウントを持つユーザーには、長くて複雑なパスワードを使用することが求められます。
  2. ユーザー アカウントをグループ管理サービス アカウント (gMSA) に置き換えます

Note

セキュリティ プリンシパルによる偵察 (LDAP) のアラートは、Defender for Identity センサーでのみサポートされています。

Kerberos SPN 露出の疑い (外部 ID 2410)

重大度: 高

説明:

攻撃者は、ツールを使用してサービス アカウントとそれぞれの SPN (サービス プリンシパル名) を列挙し、サービスの Kerberos サービス チケットを要求し、メモリからチケット付与サービス (TGS) チケットをキャプチャしてハッシュを抽出し、後でオフラインブルート フォース攻撃で使用するためにそれらを保存します。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 Kerberos チケット盗難または偽造 (T1558)
MITRE 攻撃サブ手法 Kerberoasting (T1558.003)

AS-REP ロースティング攻撃の疑い (外部 ID 2412)

重大度: 高

説明:

攻撃者は、ツールを使用して Kerberos 事前認証が無効になっているアカウントを検出し、暗号化されたタイムスタンプなしで AS-REQ 要求を送信します。 応答として、TGT データを含む AS-REP メッセージを受信します。これは RC4 などの安全でないアルゴリズムで暗号化され、後でオフラインパスワード解読攻撃 (Kerberoasting と同様) で使用できるように保存し、プレーンテキストの資格情報を公開します。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 Kerberos チケット盗難または偽造 (T1558)
MITRE 攻撃サブ手法 AS-REP ロースティング (T1558.004)

防止するための推奨手順:

  1. Kerberos 事前認証を有効にします。 アカウント属性とその修復方法の詳細については、「セキュリティで保護されていないアカウント属性」を参照してください。

sAMNameAccount 属性の疑わしい変更 (CVE-2021-42278 および CVE-2021-42287 の悪用) (外部 ID 2419)

重大度: 高

説明:

Active Directory 環境にパッチが適用されていない場合、攻撃者は、ドメイン管理者ユーザーに直接アクセスするパスを作成できます。 このエスカレーション攻撃で、攻撃者がドメイン内の通常のユーザーを侵害できた場合、自分の特権をドメイン管理者のものに簡単に昇格できます。

Kerberos を使用して認証を実行する場合は、Ticket-Granting-Ticket (TGT) と Ticket-Granting-Service (TGS) はキー配布センター (KDC) から要求されます。 TGS が要求されたアカウントが見つからなかった場合、KDC は末尾の $ でもう一度検索を試みます。

TGS 要求の処理時、攻撃者が作成した要求側マシン DC1 の検索に KDC は失敗します。 そのため、KDC は、末尾に $ を付加して再度検索を実行します。 検索は成功します。 その結果、KDC は DC1$ の特権を使用してチケットを発行します。

CVE の CVE-2021-42278 と CVE-2021-42287 をドメイン ユーザーの資格情報を持つ攻撃者が組み合わせて利用すると、ドメイン管理者としてアクセス権を得ることができます。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 アクセス トークンの操作 (T1134)特権エスカレーションの悪用 (T1068)Kerberos チケットの盗難または偽造 (T1558)
MITRE 攻撃サブ手法 トークンの偽装または盗難 (T1134.001)

ハニートークン 認証アクティビティ (外部 ID 2014)

以前の名前: ハニートークン アクティビティ

重大度: 中

説明:

ハニートークン アカウントは、これらのアカウントを含む悪意のあるアクティビティを特定して追跡するために設定されたおとりアカウントです。 ハニートークン アカウントは未使用のままにしておき、攻撃者をおびき寄せる魅力的な名前 (たとえば SQL-Admin) を付けます。 これらで実行される認証アクティビティはすべて、悪意のある動作を示している可能性があります。 ハニートークン アカウントの詳細については、「機微またはハニートークン アカウントの管理」を参照してください。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
セカンダリ MITRE の戦術 検出
MITRE 攻撃手法 アカウントの検出 (T1087)
MITRE 攻撃サブ手法 ドメイン アカウント (T1087.002)

DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) (外部 ID 2006)

以前の名前:ディレクトリ サービスの悪意のあるレプリケーション

重大度: 高

説明:

Active Directory のレプリケーションは、1つのドメイン コントローラーで行われた変更を他のすべてのドメイン コントローラーと同期するプロセスです。 必要なアクセス許可が与えられると、攻撃者はレプリケーション要求を開始して、Active Directory に格納されているデータ (パスワード ハッシュを含む) を取得できます。

この検出では、ドメイン コントローラーではないコンピューターからレプリケーション要求が開始されると、アラートがトリガーされます。

Note

Defender for Identity センサーがインストールされていないドメイン コントローラーがある場合、そのようなドメイン コントローラーは Defender for Identity でカバーされません。 登録されていない、または保護されていないドメイン コントローラーに新しいドメイン コントローラーをデプロイするとき、Defender for Identity によってドメイン コントローラーとして直ちに識別されない可能性があります。 対象範囲を全体にするために、すべてのドメイン コントローラーに Defender for Identity センサーをインストールすることを強くお勧めします。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
セカンダリ MITRE の戦術 永続化 (TA0003)
MITRE 攻撃手法 OS 資格情報のダンプ (T1003)
MITRE 攻撃サブ手法 DCSync (T1003.006)

防止するための推奨手順::

次のアクセス許可を検証します。

  1. ディレクトリ変更のレプリケート
  2. ディレクトリのすべての変更をレプリケート
  3. 詳細については、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」を参照してください。 AD ACL スキャナーを使用するか、Windows PowerShell スクリプトを作成してドメインでこれらのアクセス許可を持つユーザーを特定できます。

AD FS DKM キーの読み取りの疑い (外部 ID 2413)

重大度: 高

説明:

Active Directory フェデレーション サービス (AD FS) (AD FS) 秘密キーを含むトークン署名証明書とトークン暗号化解除証明書は、AD FS 構成データベースに格納されます。 証明書は、キー マネージャーの配布と呼ばれるテクノロジを使用して暗号化されます。 AD FS は、必要に応じてこれらの DKM キーを作成して使用します。 Golden SAML などの攻撃を実行するには、ゴールデン チケット攻撃に krbtgt アカウントが必要な場合と同様に、攻撃者は SAML オブジェクトに署名する秘密キーを必要とします。 攻撃者は、AD FS ユーザー アカウントを使用して DKM キーにアクセスし、SAML トークンの署名に使用される証明書の暗号化を解除できます。 この検出は、AD FS オブジェクトの DKM キーを読み取ろうとするすべてのアクターを検索しようとします。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 セキュリティ保護されていない資格情報 (T1552)
MITRE 攻撃サブ手法 セキュリティ保護されていない資格情報: 秘密キー (T1552.004)

Note

疑わしい AD FS DKM キー読み取りアラートは、AD FS 上の Defender for Identity センサーでのみサポートされています。

分散ファイル システム プロトコルを使用した疑わしい DFSCoerce 攻撃 (外部 ID 2426)

重大度: 高

説明:

DFSCoerce 攻撃を使用すると、NTLM 認証をトリガーする MS-DFSNM API を使用して攻撃者の制御下にあるリモート コンピューターに対してドメイン コントローラーで強制的に認証できます。 これにより、最終的には、脅威アクターが NTLM リレー攻撃を開始できます。 

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 認証の強制 (T1187)
MITRE 攻撃サブ手法 該当なし

BronzeBit 手法を使用した疑わしい Kerberos 委任の試行 (CVE-2020-17049 の悪用) (外部 ID 2048)

重大度: 中

説明:

脆弱性 (CVE-2020-17049) を悪用することで、攻撃者は BronzeBit メソッドを使用して疑わしい Kerberos 委任を試みます。 これにより、未承認の特権エスカレーションが発生し、Kerberos 認証プロセスのセキュリティが侵害される可能性があります。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 Kerberos チケット盗難または偽造 (T1558)
MITRE 攻撃サブ手法 該当なし

疑わしい証明書を使用した異常な Active Directory フェデレーション サービス (AD FS) 認証 (外部 ID 2424)

重大度: 高

説明:

Active Directory フェデレーション サービス (AD FS) で疑わしい証明書を使用する異常な認証試行は、潜在的なセキュリティ侵害を示している可能性があります。 AD FS 認証中の証明書の監視と検証は、承認されていないアクセスを防ぐうえで極めて重要です。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 Web 資格情報の偽造 (T1606)
MITRE 攻撃サブ手法 該当なし

Note

疑わしい証明書アラートを使用した異常な Active Directory フェデレーション サービス (AD FS) 認証は、AD FS 上の Defender for Identity センサーでのみサポートされています。

シャドウ資格情報を使用したアカウント乗っ取りの疑い (外部 ID 2431)

重大度: 高

説明:

アカウント乗っ取りの試行でシャドウ資格情報が使用されている場合は悪意のあるアクティビティが疑われます。 攻撃者は、脆弱な資格情報や侵害された資格情報を悪用して、アクセス権を不正に取得し、ユーザー アカウントを制御しようとする場合があります。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 OS 資格情報のダンプ (T1003)
MITRE 攻撃サブ手法 該当なし

疑わしい Kerberos チケット要求の疑い (外部 ID 2418)

重大度: 高

説明:

この攻撃には、異常な Kerberos チケット要求の疑いが含まれます。 攻撃者は Kerberos 認証プロセスの脆弱性を悪用しようとする場合があり、不正アクセスやセキュリティ インフラストラクチャの侵害につながる可能性があります。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
セカンダリ MITRE の戦術 コレクション (TA0009)
MITRE 攻撃手法 Adversary-in-the-Middle (T1557)
MITRE 攻撃サブ手法 LLMNR/NBT-NS ポイズニングと SMB リレー (T1557.001)

OneLogin に対するパスワード スプレー

重大度: 高

説明:

パスワード スプレーでは、攻撃者は多数のユーザーに対してパスワードの小さなサブセットを推測しようとします。 これは、いずれかのユーザーが既知の脆弱なパスワードを使用しているかどうかを調べるために行われます。 失敗したログインを実行しているソース IP を調査して、それらが正当であるかどうかを判断することをお勧めします。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 ブルートフォース (T1110)
MITRE 攻撃サブ手法 パスワード スプレー (T1110.003)

疑わしい OneLogin MFA 疲労

重大度: 高

説明:

MFA 疲労では、攻撃者はユーザーに複数の MFA 試行を送信し、システムにログインまたは拒否を許可するように求める MFA 要求を表示し続けるバグがあると感じさせようとします。 攻撃者は、強制的に被害者にログインを許可させようとします。これにより、通知が停止され、攻撃者がシステムにログインできるようになります。

失敗した MFA 試行を実行しているソース IP を調査して、それらが正当かどうか、およびユーザーがログインを実行しているかどうかを判断することをお勧めします。

ラーニング期間:

なし

MITRE:

MITRE の主要な戦術 資格情報アクセス (TA0006)
MITRE 攻撃手法 多要素認証要求の生成 (T1621)
MITRE 攻撃サブ手法 該当なし

関連項目