Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で狙われる「Active Directory」保護の対策資料 - 優先順位踏まえ具体的に解説

「Active Directory」を侵害される原因は、「脆弱性」や「運用の不備」だ。2014年に日本マイクロソフトが「MS14-068」で対応した「Kerberos」における特権の昇格の脆弱性「CVE-2014-6324」は、いまだに修正されていないケースがあり、侵害を受ける原因となっている。

さらに、端末に保存されたハッシュ情報を悪用する「Pass-The-Hash」、認証チケットを窃取する「Pass-the-Ticket」などの攻撃手法も存在。

20170314_jp_005.jpg
Active Directoryに対する攻撃例(図:JPCERT/CC)

特にTGTを悪用し、任意のユーザーになりすますことが可能となる「Golden Ticket」や、「Service Ticket」の悪用により、任意のサービスへアクセスできる「Silver Ticket」などが作成されることで、長期的なアクセス権を取得され、ファイルサーバなどを侵害された場合の影響は小さくない。

同センター早期警戒グループの情報分析ラインで同じく情報セキュリティアナリストを務める藤本万里子氏は、「Pass-the-Ticket」に関する解説資料はこれまでもあまり公開されておらず、認知度が低い点を指摘。「攻撃者が正規のチケットを入手すると、システムからは正規ユーザーによる操作として処理されるため、発見が難しい」という。

(Security NEXT - 2017/03/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
「VMware拡張認証プラグイン」に脆弱性 - 削除か無効化を
米CISA、「MS 365」のセキュリティ最低構成と評価ツールを公開
ランサムウェア「Play」に警戒を - 米豪当局が注意喚起
「Citrix ADC」に対するゼロデイ攻撃の手口を明らかに - 米当局
「Citrix ADC」への攻撃、 米当局があらたな手口を公開
IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
「Ivanti EPMM」のゼロデイ脆弱性、ノルウェー政府も被害 - 侵害の確認を
MSが月例パッチ公開、脆弱性5件が悪用済み - パッチ未提供のゼロデイ脆弱性も