なぜ「Active Directory」は狙われるのか？ ID基盤を守るべき理由と防御のポイント：重大なサイバー攻撃は「ID中心型」へ

サイバー攻撃は認証情報を突破口とする「ID中心型」へと移行しつつあります。Ciscoは重大サイバー攻撃の26％がID基盤関連と報告し、Microsoftは「Active Directory」侵害の典型パターンを整理・分析しています。

[雨輝ITラボ（リーフレイン），＠IT]

　今やサイバー攻撃による企業ネットワークへの侵入経路は、脆弱（ぜいじゃく）性の悪用やマルウェア感染だけではなくなっています。近年は、認証情報を窃取して正規ユーザーになりすまし、組織内部に侵入する「ID（アイデンティティー）侵害」が主要な手口になってきています。

　Cisco Systems（以下、Cisco）の調査では、重大なサイバー攻撃の26％が「Microsoft Active Directory Domain Services」（以下、AD）などのID基盤に関連していました。境界防御を突破するのではなく、認証基盤そのものを掌握することで組織全体を支配する攻撃が増えていることを示しています。こうした状況を受け、CiscoはファイアウォールにもID情報を活用した動的防御機能の追加に乗り出しています。

Active Directoryが攻撃の標的になり続ける理由とは？

　なぜ、これほどまでにID基盤、ADがサイバー攻撃の標的として狙われるようになったのでしょうか。

　その最大の理由は「役割の集中度」にあります。ADは「ユーザー認証」「端末認証」「アクセス権管理」「グループポリシー」といった組織の認可・統制機能を一元的に担っています。攻撃者にとっては、ドメイン管理権限を取得すればネットワーク全体に対する永続的な支配権を確立できる、最終目標に近い対象といえます。

　さらにMicrosoftの分析によると、AD侵害に至るまでの攻撃手順が既に体系化され、複数の典型パターンとして確立しているということです。つまり、攻撃者は一から侵入方法を模索する必要がなく、既知の侵入手口を組み合わせることで効率的にドメイン支配へ到達できる状況にあります。

• 参考記事：重大なサイバー攻撃の26％がActive Directoryを標的に　CiscoがファイアウォールにIDベースの動的防御を追加

Active Directoryを侵害する6つの攻撃パターンと対策

　Microsoftが整理した6つの攻撃パターンは、いずれも既存機能や設定の不備を悪用する点が特徴で、その多くが初期侵入からドメイン支配まで段階的に進行します。

Microsoftが公式ブログでADの6つの脅威と対策を解説（提供：Microsoft）

1. 未修正の脆弱性を足掛かりに侵入

　OSやAD関連コンポーネントの既知の脆弱性は、侵入や権限昇格の起点として悪用されます。侵害の約2割が既知の脆弱性の悪用とされており、基本的なパッチ（修正プログラム）管理の遅れが侵入を許す要因となります。

　対策としてMicrosoftは、セキュリティ更新の迅速な適用と、脆弱性管理による継続的な可視化を推奨しています。

2. 認証リレーによるなりすまし

　NTLM（NT LAN Manager）などの認証プロトコルを中継し、正規ユーザーとして認証させる攻撃です。認証そのものを悪用するため、侵入検知が難しいのが特徴です。Microsoftは以下の対策が有効だとしています。

• NTLMの無効化・縮小
• ファイル共有プロトコルSMB（Server Message Block）署名の強制
• LDAP（Lightweight Directory Access Protocol）チャネルバインディングの強制
  • 「Windows Server 2025」では既定で有効
• EPA（Extended Protection for Authentication）の利用
• 特権アカウント利用の最小化

3. Kerberoasting攻撃による認証情報窃取

　「Kerberoasting（ケルベロースティング）攻撃」は、正当なKerberos機能を利用してサービスチケットを取得し、オフラインでパスワードを解析する手口で、弱いパスワードや長期未変更のサービスアカウントが標的になります。主な対策は以下になります。

• グループ管理サービスアカウント（gMSA）など自動管理アカウントの利用
• 強度の弱い旧式の暗号方式「RC4」（Rivest Cipher 4）の廃止
  • Windows Server 2025以降はRC4が既定で無効
• 未使用SPN（Service Principal Name）の削除
• Windows Server 2025のセキュリティベースライン適用

4. 過剰権限と設定不備の悪用

　過剰な管理権限や委任設定の不備は、ラテラルムーブメント（横展開）や権限昇格を容易にします。特にハイブリッドクラウド環境では影響範囲が広がりやすく、最小権限の原則の徹底と管理者権限の階層分離が重要になります。

5. 制約のないKerberos委任の悪用

　Kerberosのレガシー機能である「制約のない委任」が有効な環境では、認証チケットが再利用され、管理者になりすまされる恐れがあります。対策の要点は以下になります。

• 制約のない委任の廃止
• Credential Guardなどの認証情報保護
• 高リスクアカウントの「Protected Users」セキュリティグループへの追加
• 特権アカウントの制限

6. ゴールデンチケットによるドメイン支配

　「ゴールデンチケット攻撃」は、Kerberosの鍵配布センターアカウント（KRBTGT）の鍵を窃取してチケットを偽造し、ドメインへの永続的なアクセスを可能にする攻撃で、AD侵害の最終段階に位置付けられます。対策の要点は以下のものです。

• KRBTGTパスワードの定期ローテーション
• ローカルセキュリティ機関（LSA）の保護
• 管理者以外のDCSync（ドメインコントローラーの複製）権限の削除
• 管理者特権の階層モデルの実装

　Microsoftは、これらの攻撃の多くが既知の設定不備や認証機構の悪用によって成立すると指摘しています。AD侵害は高度なゼロデイ攻撃だけでなく、運用や設定の不備が組み合わさることで現実化することを押さえておく必要があります。

• 参考記事：いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン

AD侵害はなぜ検知が難しいのか

　AD侵害が深刻化しやすい理由の一つは、攻撃の多くが正規の認証や管理機能を悪用して実行される点にあります。侵入後の操作は管理者による通常業務と区別が付きにくく、ログ上も正当な操作として記録されるからです。

　さらにAD侵害では、初期侵入からドメイン支配までが時間をかけて進行します。認証情報の窃取、権限昇格、管理権限取得といった各段階が個別には目立たないため、全体像として把握できない限り、検知が遅れる傾向があります。

　AD攻撃は「不正な侵入」というより「正規機能の悪用」に近く、従来の境界防御やマルウェア検知だけでは発見が難しいという構造を持っています。

境界防御からID中心防御への転換が必要に

　AD侵害の主軸が認証情報の悪用にある以上、防御もネットワーク境界ではなくIDを中心に設計する必要があります。

　従来のファイアウォールや境界防御は、内部ネットワークに入った通信を比較的信頼する前提で設計されてきました。しかし、認証情報が侵害された環境では、攻撃者は正規ユーザーとして内部通信を行うため、この前提が成立しません。Ciscoが重大攻撃の26％をID関連と報告し、防御側のアプローチとしてIDベースの動的防御を打ち出している背景には、こうした攻撃の構造的な変化があります。

　AD防御の中核となるのは、「特権IDの保護と監視」です。管理者アカウントの利用範囲を分離し、権限変更や認証挙動を継続的に監視することで、正規操作に見える異常を検出できる可能性が高まります。また、認証プロトコルや委任設定など、ID基盤そのもののセキュリティ設定を見直すことも不可欠です。

　AD侵害はネットワーク侵入ではなく「IDの乗っ取り」と捉え、防御モデルをIDを中心としたモデルへ転換することが求められています。