資格情報の盗難の対象になりやすいアカウント

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

資格情報の盗難攻撃とは、攻撃者が最初にネットワーク上のコンピューターへの最高レベルの特権 (使用されているオペレーティング システムに応じてルート、管理者、または SYSTEM) を持つアクセスを取得した後、利用できるツールを自由に使用して、他のログオン アカウントのセッションから資格情報を抽出する攻撃です。 システム構成によっては、このような資格情報をハッシュ、チケット、またはプレーンテキスト パスワードの形式で抽出することができます。 取得された資格情報のいずれかが、ネットワーク上の他のコンピューターに存在する可能性があるローカル アカウントのものである場合 (たとえば、Windows の管理者アカウントや、OSX、UNIX、Linux のルート アカウントなど)、攻撃者はネットワーク上の他のコンピューターにその資格情報を提示して、他のコンピューターにセキュリティ侵害を拡大して、特定の 2 種類のアカウントの資格情報を取得しようとします。

  1. 広範な特権と深い特権の両方を併せ持つ特権ドメイン アカウント (つまり、多数のコンピューターで Active Directory 内の管理者レベルの特権を持つアカウント)。 このようなアカウントは、Active Directory の最高レベルの特権グループのメンバーではない場合がありますが、ドメインまたはフォレスト内の多くのサーバーやワークステーションについて管理者レベルの特権を付与されている可能性があり、実質的に Active Directory の特権グループのメンバーと同じくらい強力になります。 ほとんどの場合、広範な Windows インフラストラクチャに対して高いレベルの特権を付与されているアカウントはサービス アカウントであるため、サービス アカウントの特権の広さと深さを常に評価する必要があります。

  2. "重要人物" (VIP) のドメイン アカウント。 このドキュメントのコンテキストでの VIP アカウントとは、攻撃者が欲しがっている情報 (知的財産や他の機密情報) にアクセスできるアカウント、または攻撃者にその情報へのアクセスを許可するために使用できるアカウントです。 次に示すのはこのようなユーザー アカウントの例です。

    1. 会社の機密情報にアクセスできるアカウントを持つ会社幹部

    2. 会社幹部が使用するコンピューターやアプリケーションの保守を担当するヘルプ デスク スタッフのアカウント

    3. 組織の入札や契約のドキュメントにアクセスできる法務担当者のアカウント (ドキュメントが自分の組織またはクライアント組織のどちらのものかに関係なく)

    4. 会社が製造する製品の種類に関係なく、会社の開発パイプラインでの製品の計画と仕様にアクセスできる製品プランナー

    5. 研究データ、製品の製法、または攻撃者が関心を持つその他の調査にアクセスできるアカウントを持つ研究者

Active Directory の高い特権を持つアカウントは、侵害を拡大したり、VIP アカウントやそれでアクセスできるデータを操作したりするために使用できるため、資格情報盗難攻撃にとって最も役に立つアカウントは、Active Directory の Enterprise Admins、Domain Admins、Administrators の各グループのメンバーであるアカウントです。

ドメイン コントローラーは AD DS データベースのリポジトリであり、ドメイン コントローラーは Active Directory 内のすべてのデータへのフル アクセス権を持っているため、ドメイン コントローラーも、資格情報盗難攻撃と並行して、または高い特権を持つ Active Directory アカウントが 1 つ以上侵害された後で、セキュリティ侵害のターゲットになります。 多数の出版物 (および多くの攻撃者) では、pass-the-hash 攻撃や他の資格情報盗難攻撃について説明するときに、Domain Admins グループのメンバーシップに焦点が当てられていますが (「Active Directory の攻撃を削減する」での説明を参照)、ここで挙げているどのグループのメンバーのアカウントでも、AD DS のインストール全体を侵害するために使用できます。

注意

pass-the-hash 攻撃や他の資格情報盗難攻撃について詳しくは、「付録 M: ドキュメントのリンクと推奨資料」に記載されている、「Pass-the-Hash (PTH) 攻撃と他の資格情報盗難手法の軽減」ホワイトペーパーをご覧ください。 "高度な持続的脅威" (APT) と呼ばれることもある、特定された敵対者による攻撃について詳しくは、「特定された敵対者と標的型攻撃」をご覧ください。

セキュリティ侵害の可能性を高めるアクティビティ

資格情報盗難の一般的なターゲットは、高い特権を持つドメイン アカウントと VIP アカウントであるため、管理者は、資格情報盗難攻撃が成功する可能性を高めるアクティビティに注意することが重要です。 攻撃者は VIP アカウントもターゲットにしますが、VIP にシステムまたはドメインでの高レベルの特権が与えられていない場合、資格情報の盗難には他の種類の攻撃 (機密情報を提供するための VIP のソーシャル エンジニアリングなど) が必要になります。 または、攻撃者は、VIP の資格情報がキャッシュされているシステムへの特権アクセスを最初に取得する必要があります。 このため、ここで説明する資格情報の盗難の可能性を高めるアクティビティの対象となるのは、主に、高い特権を持つ管理者資格情報を取得できないようにすることです。 これらのアクティビティは、攻撃者がシステムを侵害して特権のある資格情報を取得できる一般的なメカニズムです。

セキュリティで保護されていないコンピューターへの特権アカウントでのログオン

資格情報盗難攻撃の成功を許す最大の脆弱性は、環境全体について広く深い特権を持つアカウントを使用して、セキュリティ保護されていないコンピューターにログオンすることです。 このようなログオンは、ここで説明するさまざまな構成の誤りの結果である可能性があります。

管理者資格情報を分けて保持していない

これはあまり一般的ではありませんが、さまざまな AD DS のインストールを評価したところ、IT 部門の従業員がすべての作業に 1 つのアカウントを使用していることがわかりました。 そのアカウントは、Active Directory の最も高い特権を持つグループのうちの少なくとも 1 つのメンバーであり、従業員が始業時にワークステーションにログオンし、メールをチェックし、インターネット サイトを閲覧し、コンピューターにコンテンツをダウンロードするのに使っているのと同じアカウントです。 ローカル管理者の権限やアクセス許可が付与されているアカウントをユーザーが使用すると、ローカル コンピューターは完全なセキュリティ侵害に晒されます。 そのようなアカウントが Active Directory の最も高い特権を持つグループのメンバーでもあると、フォレスト全体が危険にさらされることになり、攻撃者は簡単に Active Directory と Windows の環境を完全に制御できるようになります。

同様に、一部の環境では、Windows 環境で使用されているのと同じユーザー名とパスワードが、Windows 以外のコンピューターのルート アカウントに使用されていることがわかりました。これにより、攻撃者は UNIX または Linux システムから Windows システムに、そしてその逆に、セキュリティ侵害を拡大することができます。

特権のあるアカウントを使用して、侵害されたワークステーションまたはメンバー サーバーにログオンする

高い特権を持つドメイン アカウントを使用して、侵害されたワークステーションまたはメンバー サーバーに対話形式でログオンすると、その侵害されたコンピューターが、システムにログオンしているすべてのアカウントから資格情報を収集する可能性があります。

セキュリティ保護されていない管理ワークステーション

多くの組織では、IT スタッフが複数のアカウントを使用しています。 1 つのアカウントは従業員のワークステーションへのログオンに使用され、これらは IT スタッフであるため、多くの場合、それらのワークステーションに対するローカル管理者権限を持っています。 場合によっては、ユーザーが少なくともログオン時に分割アクセス トークンを受け取り、特権が必要になったときは昇格する必要があるように、UAC が有効のままになっています。 このようなユーザーがメンテナンス作業を実行するときは、通常、ローカルにインストールされている管理ツールを使用し、[管理者として実行] オプションを選ぶか、求められたら資格情報を指定することによって、ドメイン特権アカウントの資格情報を提供します。 この構成は適切だと思われるかもしれませんが、次の理由により、環境がセキュリティ侵害にさらされます。

  • 従業員がワークステーションへのログオンに使用する "通常の" ユーザー アカウントにローカル管理者権限があり、そのコンピューターは、ユーザーがマルウェアをインストールさせられるドライブバイ ダウンロード 攻撃に対して脆弱です。
  • マルウェアは管理者アカウントのコンテキストでインストールされ、コンピューターを使用して、キーストローク、クリップボードの内容、スクリーンショット、メモリ常駐資格情報をキャプチャできるようになります。これらのいずれによっても、強力なドメイン アカウントの資格情報が公開される可能性があります。

このシナリオでの問題には 2 つの部分があります。 まず、ローカルとドメインの管理に個別のアカウントを使用していますが、コンピューターはセキュリティ保護されておらず、アカウントを盗難から保護していません。 次に、通常のユーザー アカウントと管理者アカウントに、過剰な権限とアクセス許可が付与されています。

高特権アカウントでのインターネットの閲覧

コンピューターのローカルの Administrators グループのメンバーまたは Active Directory の特権グループのメンバーであるアカウントを使用してコンピューターにログオンしたユーザーが、インターネット (またはセキュリティ侵害されたイントラネット) を閲覧すると、ローカル コンピューターとディレクトリがセキュリティ侵害にさらされます。

管理者特権で実行しているブラウザーを使用して、悪意のある Web サイトにアクセスすると、攻撃者は、特権ユーザーのコンテキストで、悪意のあるコードをローカル コンピューターに格納できます。 ユーザーがコンピューターのローカル管理者権限を持っている場合、攻撃者は、ユーザーを騙して、悪意のあるコードをダウンロードさせたり、アプリケーションの脆弱性を利用するメール添付ファイルを開かせたりすることや、ユーザーの特権を利用して、コンピューター上のすべてのアクティブなユーザーのローカル キャッシュにある資格情報を抽出したりすることができます。 ユーザーが Active Directory の Enterprise Admins、Domain Admins、または Administrators グループのメンバーシップによってディレクトリの管理者権限を持っている場合、攻撃者は、ドメイン資格情報を抽出して使用し、フォレスト内の他のコンピューターを侵害することなく、AD DS ドメインまたはフォレスト全体のセキュリティを侵害することができます。

複数のシステムで同じ資格情報を使用するローカル特権アカウントの構成

多くのコンピューターまたはすべてのコンピューターに同じローカル管理者のアカウント名とパスワードを構成すると、1 台のコンピューターの SAM データベースから盗んだ資格情報を使用して、同じ資格情報を使用する他のすべてのコンピューターのセキュリティを侵害できます。 少なくとも、ドメインに参加している各システムのローカル管理者アカウントでは、異なるパスワードを使用する必要があります。 ローカル管理者アカウントの名前を一意にすることもできますが、資格情報を他のシステムで使用できないようにするには、システムの特権ローカル アカウントごとに異なるパスワードを使用すれば十分です。

特権ドメイン グループの過剰な作成と使用

ドメインの EA、DA、または BA グループのメンバーシップを付与すると、攻撃者のターゲットになります。 このようなグループのメンバーの数が多いほど、特権を持つユーザーがうっかり資格情報を誤って使用し、資格情報盗難攻撃にさらしてしまう可能性が高くなります。 特権ドメイン ユーザーがログオンするすべてのワークステーションまたはサーバーは、特権ユーザーの資格情報を取得し、AD DS のドメインとフォレストを侵害するために使用できるメカニズムを提供します。

セキュリティ保護が不適切なドメイン コントローラー

ドメイン コントローラーには、ドメインの AD DS データベースのレプリカが収められています。 読み取り専用ドメイン コントローラーの場合、データベースのローカル レプリカには、ディレクトリ内のアカウントのサブセットのみの資格情報が含まれ、そのどれもが既定では特権ドメイン アカウントはありません。 読み取り/書き込みドメイン コントローラーの場合は、ドメイン コントローラーごとに AD DS データベースの完全なレプリカが保持されます。これには、Domain Admins のような特権ユーザーの資格情報だけでなく、ドメイン コントローラー アカウントやドメインの Krbtgt アカウント (ドメイン コントローラーの KDC サービスに関連付けられているアカウント) などの特権アカウントの資格情報も含まれます。 ドメイン コントローラーの機能に必要のない追加アプリケーションがドメイン コントローラーにインストールされている場合、またはドメイン コントローラーにパッチやセキュリティが厳重に適用されていない場合、攻撃者は、パッチが適用されていない脆弱性を利用してそのセキュリティを侵害したり、他の攻撃ベクトルを利用して悪意のあるソフトウェアをそれに直接インストールしたりする可能性があります。

特権の昇格と伝播

使用される攻撃方法に関係なく、Active Directory は、攻撃者が必要とするすべてのものへのアクセスを最終的に制御しているため、Windows 環境が攻撃されたときは、常にターゲットになります。 ただし、これはディレクトリ全体がターゲットになるという意味ではありません。 通常、Active Directory に対する攻撃の主なターゲットは、特定のアカウント、サーバー、インフラストラクチャ コンポーネントです。 以下ではこれらのアカウントについて説明します。

永続的な特権アカウント

Active Directory が導入されたため、高い特権を持つアカウントを使用して Active Directory フォレストを作成した後、より低い特権のアカウントに日常の管理を実行するために必要な権限とアクセス許可を委任できるようになりました。 日常の管理に最小特権アプローチを導入している環境では、Active Directory の Enterprise Admins、Domain Admins、または Administrators グループのメンバーシップが必要になることは、一時的で、あまり多くありません。

永続的な特権アカウントとは、特権グループに配置され、常にそこに残っているアカウントのことです。 組織のドメインの Domain Admins グループに 5 つのアカウントがある場合、それら 5 つのアカウントは 1 日 24 時間、週 7 日、ターゲットになる可能性があります。 しかし、Domain Admins の特権を持つアカウントを実際に使用する必要があるのは、通常、特定のドメイン全体の構成の場合のみであり、短時間です。

VIP アカウント

Active Directory の違反で見落とされることの多いターゲット標は、組織内の "重要人物" (VIP) のアカウントです。 このセクションで既に説明したように、特権アカウントがターゲットになるのは、それらのアカウントが攻撃者にアクセス権を付与できるためであり、それによって攻撃者はターゲットのシステムを侵害したり破壊したりできます。

"特権付きの" Active Directory アカウント

"特権付きの" Active Directory アカウントとは、Active Directory で最高レベルの特権を持つどのグループのメンバーにもなっていないものの、環境内の多くのサーバーやワークステーションに対する高いレベルの特権が付与されているドメイン アカウントです。 このようなアカウントは、多くの場合、ドメインに参加しているシステムでサービスを実行するように構成されたドメインベースのアカウントであり、通常は、インフラストラクチャの大きなセクションで実行されるアプリケーションに使用されます。 このようなアカウントには Active Directory での特権はありませんが、多数のシステムで高い特権を付与されている場合は、インフラストラクチャの大きなセグメントを侵害または破壊して、特権を持つ Active Directory アカウントの侵害と同じ効果を実現するために使用できます。