いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン：6つの脅威と対策を解説

Microsoftは「Active Directory Domain Services」（AD DS）を狙う攻撃を6つに分類し、検知や対策の方法を示した。

[＠IT]

　Microsoftは2025年12月、ディレクトリサービス「Active Directory Domain Services」（AD DS）に迫る6つの脅威について公式ブログで解説。AD DSがオンプレミスとクラウドのハイブリッド環境における認証と認可の中核的な機能として使われていることを踏まえ、6つの脅威それぞれの手口と対策を紹介した。旧式の認証方式の悪用や、権限委任の設定不備を突く攻撃など、現実的なリスクが具体的に示されている。

Microsoftが公式ブログでAD DSの6つの脅威と対策を解説（提供：Microsoft）

「Active Directory」を侵害する6つの攻撃パターンと対策

　Microsoftが挙げた6つの脅威と対策は以下の通り。

1．未修正の脆弱性による侵入

　OSや周辺コンポーネントに残る未修正の脆弱（ぜいじゃく）性が初期侵入や権限昇格に悪用されている。Verizon Communicationsのデータ侵害に関する年次レポート「2025年度データ漏えい／侵害調査報告書（DBIR）」では、既知の脆弱性の悪用が侵害の約20％を占め、前年比で約34％増加しているという。

　検知には、脆弱性管理ツール「Microsoft Defender Vulnerability Management」や「Microsoft Defender for Endpoint」による可視化や、運用管理ツール「Microsoft Configuration Manager」による監視が有効だ。

　対策としては、更新プログラムの管理ツール「Azure Update Manager」またはConfiguration Managerでのパッチ（修正プログラム）適用の自動化や、サーバOS「Windows Server 2025」のセキュリティベースライン（推奨セキュリティ設定）の適用が推奨される。

2．認証リレーで認証プロトコルを悪用

　認証リレー攻撃（中間者攻撃の一種）は、正規のログイン要求を転送してユーザーになりすます手口で、主にネットワーク認証プロトコル「NTLM」（NT LAN Manager）が悪用される（一部ではプロトコルに「Kerberos」を利用する環境でも成立する場合がある）。

　検知には、ID保護ツール「Microsoft Defender for Identity」やWindowsイベントのログ監視が有効だ。

　対策としては、以下が挙げられる。

• 可能な限りNTLMを無効化
• SMB署名の利用
  • ファイル共有プロトコル「SMB」（Server Message Block）通信に署名を付与し、通信の改ざんやなりすましを検知、防止する
• 「LDAPチャネルバインディング」の強制（Windows Server 2025では既定で有効）
  • ディレクトリサービスにアクセスするためのプロトコル「LDAP」（Lightweight Directory Access Protocol）の認証処理を、暗号化プロトコル「TLS」（Transport Layer Security）通信のチャネルと結び付けることで、認証要求のリレーを防止する
• EPAの利用
  • 認証プロトコルの拡張的な保護機能「Extended Protection for Authentication」（EPA）を利用し、認証処理を通信チャネルや接続先情報とひも付ける
• 特権ID管理
  • 管理者権限を持つアカウントの利用を最小限に抑えられるよう管理する

3．Kerberoasting攻撃

　「Kerberoasting」とは、正当なKerberos機能を利用してサービスチケットを要求し、オフラインの総当たり攻撃でパスワードを解読する手法。検知が難しく、弱いパスワードや無期限パスワードのサービスアカウントが標的になりやすい。

　検知には、「Microsoft Defender XDR」からのアラート確認や異常なKerberos暗号化タイプのチケット要求確認、Defender for Identityでの疑わしいチケットリクエスト検出などが有効だ。

　対策としては、以下が挙げられる。

• サービスアカウントのグループ管理サービスアカウント（gMSA）に移行
  • パスワードを人手で管理せず、Active Directoryが自動生成、更新することで、資格情報の窃取や悪用リスクを低減する
• Kerberosの「RC4」暗号化の無効化
  • 強度の低い旧式の暗号方式である「RC4」（Rivest Cipher 4）を廃止することで、Kerberosチケットを狙った攻撃への耐性を高める（Windows Server 2025以降はRC4が既定で無効）
• 未使用の「SPN」削除
  • サービスアカウントにひも付いた識別子である「SPN」（Service Principal Name）の未使用のものを整理し、Kerberosの認証証明が悪用される領域を縮小する
• Windows Server 2025のセキュリティベースライン適用

4．過剰権限とアカウントの設定ミス

　必要以上の権限を持つアカウントや設定不備は、攻撃者が権限昇格や横展開を実行する際の手助けになり得る。特にオンプレミスとクラウドの権限が交差する環境では、影響範囲が拡大しやすい。

　検知には、Defender for Identityによる横展開経路の可視化、Active Directoryによるグループメンバーシップと委任されたアクセス許可の確認などが有効だ。

　対策としては、以下が挙げられる。

• 最小権限の原則の徹底
• 管理者特権の階層モデルの実装

5．制約のないKerberos委任

　Kerberosのレガシー機能である「制約のない委任」が有効な場合、ユーザーの「TGT」（Ticket Granting Ticket）がメモリに保存されるため、攻撃者がこれを再利用し、ドメイン管理者を含むあらゆるサービスになりすます恐れがある。TGTは、ユーザーが正常に認証されたことを証明するチケット。

　検知には、PowerShellで制約のない委任を持つシステムを見つけることや、Defender for Identityの利用などが有効だ。

　対策としては、以下が挙げられる。

• エンドポイントへの「Credential Guard」（資格情報保護）の展開
  • 認証情報をOSから分離して保護する
• 高リスクアカウントの「Protected Users」セキュリティグループへの追加
  • TGTの長期利用や旧式認証方式を制限し、特権アカウントの悪用リスクを抑制する
• 特権アカウントの無効化
• 制約のない委任のサポート廃止

6．Kerberosのゴールデンチケット

　ゴールデンチケット攻撃は、Kerberosの鍵配布センターアカウント（KRBTGT）の鍵を盗んでチケットを偽造し、ドメインへ無制限かつ永続的にアクセスする手口だ。

　検知には、Defender for Identityによるリアルタイム監視、Kerberos監査ログの有効化などが使える。

　対策としては、以下が挙げられる。

• KRBTGTパスワードの定期ローテーション（180日以内）と2回リセットの実施
  • KRBTGTの暗号鍵を更新し、過去に偽造されたKerberosチケットを無効化する
• ローカルセキュリティ機関（LSA）の保護
  • Windowsにおける認証情報の中核管理機能「LSA」プロセスを保護し、KRBTGTを含む資格情報の窃取を防ぐ
• 管理者以外の「DCSync」権限の削除
  • ドメインコントローラーになりすまし、Active Directoryの認証情報を複製できる権限を制限し、KRBTGT情報の不正取得を防止する
• 管理者特権の階層モデルの実装
  • 特権アカウントの利用範囲を分離し、侵害時の影響がドメイン全体に及ぶことを防ぐ

---

　AD DSは、企業のIDおよびアクセス管理の中核を担うサービスであるだけに、サイバー攻撃の標的にもなりやすい。脅威の検知と修復の基本を徹底し、攻撃対象になり得る領域を減らしておくことが欠かせない。