JPCERT/CCが「Active Directoryのセキュリティ」にフォーカスした文書を公開：社内にあるから安全だと思っていませんか？（2/2 ページ）

[高橋睦美，＠IT]

あれもこれもではなく、最低限必要な対策に絞って紹介

JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリストの藤本万里子氏

　文書では、こうした攻撃の仕組みを解説した上で、Windowsのイベントログを基に攻撃の痕跡を効率的に検知する具体的な方法を紹介。全ての認証ログをチェックするのは現実的でないことを踏まえ、端末とアカウントをひも付けるなど、不審なイベントログを検知しやすい環境作りのコツなども示されている。

　JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリストの藤本万里子氏は「プロキシサーバなど外部と接するところのログに比べると、Active Directoryのログはあまり見られていないのが現状だ。また、ログを取っているにしても初期設定のままであることも多い。大きい組織では1日足らずでローテート（一定の容量や期間ごとに古いログの削除／上書きを行うこと）されてしまい、肝心の部分を調査したくても残っていないこともある」と指摘している。

　まずは、文書に掲載されている「最低限実施すべき予防策」を実施すべきだ。「運用の現場では、いきなりあれもこれもパッチを適用しろ、全て対策をやれ、というのは無理がある」（松田氏）。そこで、何はともあれ「これだけは適用してほしい」パッチとしてWindowsのセキュリティ更新プログラム「KB3011780」と「KB2871997」を明示。また、初期設定ではオフになっている、「メモリに残存している認証情報を保護する機能」を有効化する方法を示している。

　さらに、「Active Directoryへの攻撃を検知した場合に必要な緊急対処方法」も参考になるだろう。「パッチを適用しても、1度発行されたGolden Ticketが無効になるわけではない点に注意が必要。また、Golden Ticketを無効化するために、krbtgtアカウントのパスワード変更は連続して2回行う必要があるなど、見落とされがちなところも本書に記載してある」（松田氏）。

　松田氏はあらためて、「新しい製品を購入せよといったお金の掛かる方法ではなく、まず、設定や運用で対処できる方法にフォーカスした」とするこの文書を、セキュリティ担当者だけでなくWindowsのシステム管理者などにも活用してほしいとしている。