Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で狙われる「Active Directory」保護の対策資料 - 優先順位踏まえ具体的に解説

「Active Directory」を侵害される原因は、「脆弱性」や「運用の不備」だ。2014年に日本マイクロソフトが「MS14-068」で対応した「Kerberos」における特権の昇格の脆弱性「CVE-2014-6324」は、いまだに修正されていないケースがあり、侵害を受ける原因となっている。

さらに、端末に保存されたハッシュ情報を悪用する「Pass-The-Hash」、認証チケットを窃取する「Pass-the-Ticket」などの攻撃手法も存在。

20170314_jp_005.jpg
Active Directoryに対する攻撃例(図:JPCERT/CC)

特にTGTを悪用し、任意のユーザーになりすますことが可能となる「Golden Ticket」や、「Service Ticket」の悪用により、任意のサービスへアクセスできる「Silver Ticket」などが作成されることで、長期的なアクセス権を取得され、ファイルサーバなどを侵害された場合の影響は小さくない。

同センター早期警戒グループの情報分析ラインで同じく情報セキュリティアナリストを務める藤本万里子氏は、「Pass-the-Ticket」に関する解説資料はこれまでもあまり公開されておらず、認知度が低い点を指摘。「攻撃者が正規のチケットを入手すると、システムからは正規ユーザーによる操作として処理されるため、発見が難しい」という。

(Security NEXT - 2017/03/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

対AD攻撃や管理者アカウントの乗っ取りを検知するサービス
「Samba」に4件の脆弱性 - アップデートがリリース
ADの脅威診断を期間限定で無償提供 - マクニカ
海外拠点経由の不正侵入で情報流出、内部横展開も - NTTコム
クラウドの設定ミスを防ぐ診断サービス - ラック
パッチ適用で終わらぬ「Pulse Secure」脆弱性 - 数カ月後に侵害されたケースも
ADのPWセルフリセット製品にRCE脆弱性 - 報奨金制度で報告
ID-based Securityイニシアティブが発足
MS、月例パッチで脆弱性93件に対処 - 盆休み重なる更新に注意を
パスワードスプレー攻撃が大量発生中 - ウェブメールなど標的に