AD管理者アカウントの乗っ取りに注意 - 長期潜伏されるケースも

何者かによって「Active Directory」の管理者アカウントが乗っ取られ、組織内部のネットワークに長期潜伏される標的型攻撃を複数確認しているとして、JPCERTコーディネーションセンターが注意喚起を行った。

組織のアカウントを集中管理する「Active Directory」では、管理者のアカウント権限が奪われた場合、ドメイン内のサーバやPC端末に対する攻撃が容易となる。そのため、標的型攻撃などに狙われるリスクがある。

11月に修正された「Microsoft Windows Kerberos KDC」の脆弱性「CVE-2014-6324」なども、一般ユーザーからドメインの管理者権限を奪取できるとして、セキュリティ専門家が危険性を指摘している。

今回、注意喚起を行ったJPCERTコーディネーションセンターによれば、実際に管理者の認証情報が窃取され、長期間にわたってネットワークへ侵入されるケースを複数確認しているという。

同センターは、不正侵入されている場合、ログの定期的な確認によって気が付くことができる場合が多いと指摘。管理者によるログオンの状況や接続状況、操作内容などの定期的な確認が重要であると説明する。

また管理端末やサーバにおける脆弱性の解消、アカウントへの権限付与を必要最小限にする、強固なパスワードの利用や認証の強化など、セキュリティ対策の実施を呼びかけている。

（Security NEXT - 2014/12/24 ）ツイート