検索
ニュース

Active Directoryのドメイン管理者アカウントが不正利用、組織内攻撃に悪用Kerberosの脆弱性にあらためて注意、悪用で権限昇格の恐れも

JPCERT/CCによると、Active Directoryのドメイン管理者アカウントを悪用し、組織内ネットワークで横断的に攻撃活動を行う例が確認されており、注意が必要だ。11月にリリースされた緊急パッチの適用も確認しておきたい。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(JPCERT/CC)は2014年12月19日、Active Directoryのドメイン管理者アカウントを悪用し、組織内ネットワークで横断的に攻撃活動を行う例が確認されているとし、注意を呼び掛けた。JPCERT/CCでは、Active Directoryのログを確認し、管理者アカウントの不正利用の痕跡がないかどうか確認するよう推奨している。

 一方ソフトバンク・テクノロジーは、マイクロソフトが2014年11月に定例外の緊急パッチで修正したWindowsのKerberos認証の脆弱(ぜいじゃく)性(CVE-2014-6324、MS014-068)の影響は予想以上に深刻である可能性が高いとし、アドバイザリーを公開した。この脆弱性を悪用されれば、何らかの方法で一般ドメインユーザーのログイン情報を盗み取った攻撃者(あるいは一般ドメインユーザーの権限を持つ内部犯行者)がドメイン管理者アカウントの権限を奪取し、重要情報の窃取やサーバーへの侵入といった攻撃につながる恐れがある。

 Kerberos認証の脆弱性は、Windows Vista/7/8とWindows Server 2003/2008/2012といった、主要なWindowsプラットフォームに存在する。

 通常、ドメインユーザーがActive Dirctoryにログインする際には、ログイン用の情報をサーバーに送信してKerberosチケットを取得する。このチケットに細工を施し、再度サーバーにアクセスすることによって、自身の権限を管理者アカウント(特権ユーザー)に昇格させることが可能になってしまう、というのが脆弱性の概要だ。


ソフトバンク・テクノロジーが行った、Kerberos認証の脆弱性の概要

 ソフトバンク・テクノロジーが実際に、Windows Server 2008 R2をターゲットとして検証を行ったところ、Windows 7を利用しているドメインユーザー(与えられている権限は「Domain User」)が、細工を施したチケットを送信することで「Domain Admins」などの権限を取得し、アクセス制限がかけられているはずのデータにアクセスできてしまうことが確認できた。仮に、攻撃者がこの脆弱性を突いてドメイン管理者権限を取得した後、長い有効期限を持つKerberosのTGTチケットを発行してしまうと、その期間中、パスワードを変更しても永続的な侵入を許してしまうことになる。

 ソフトバンク・テクノロジーの辻伸弘氏は、「この脆弱性は、ドメインに参加しているコンピュータを一台でも乗っ取ることができれば、ドメインの管理者権限を取得できてしまうため、極めて危険性が高い。標的型攻撃の他、内部犯行にも悪用できる」と指摘している。

 マイクロソフトのアドバイザリーによると、対策は11月に公開されたパッチを適用すること。残念ながら回避策は存在しない一方で、この脆弱性を利用した攻撃が確認されているという。早期のパッチ適用が困難な場合は、少なくともActive Directoryのログを取得し、攻撃の有無を確認することが推奨される。なお、デフォルトでは認証ログを取得するようになっていないため、設定の変更が必要だ。

 JPCERT/CCが確認したドメイン管理者アカウントの不正利用事例では、「組織内部に侵入した攻撃者による、 管理者アカウントの不正使用は、ログの定期的な確認により検知可能なものが多数」だったという。

 JPCERT/CCではこれを踏まえ、管理者アカウントの「接続先」や「接続元端末」「使用している時間帯」「操作内容」を確認するとともに、本来ならば使用していないはずのアカウントが利用されていないかどうかなどをチェックするよう推奨。さらに、管理者アカウントの認証手段を強化したり、管理者アカウントを定期的に監査したりするといった基本的な対策を徹底するよう勧めている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る