{
	"id": "28223c58-a84a-4b43-b0c7-369dc4096bbc",
	"created_at": "2026-04-06T00:18:57.558713Z",
	"updated_at": "2026-04-10T13:11:44.284154Z",
	"deleted_at": null,
	"sha1_hash": "53f245a1a1a45a7720c5b2a0232bf95f908e6ff9",
	"title": "Active Directory 侵害と推奨対策",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 235995,
	"plain_text": "Active Directory 侵害と推奨対策\r\nArchived: 2026-04-05 13:19:32 UTC\r\n1.\r\n2.\r\nセッション概要  目的  マイクロソフトサポート及びインシデント調査サービスで把握している実\r\n態、対応事例から得られた知見を共有  マイクロソフトが提唱する対策の解説し Active Directory の保\r\n護に役立てていただく  目次  標的型攻撃における Active Directory の侵害の概要  Active Directory\r\nの侵害の特徴 1. “のっとりアカウント”を中心とした侵害の展開 2. 複雑なAD環境に起因する問題 3. 侵\r\n害の検出が困難 4. 復旧が困難  推奨する Active Directory 保護策  推奨する対策の概要  資格情報の\r\n保護  端末の保護  監視、対応、復旧 2© Copyright Microsoft Corporation. All rights reserved.\r\n3.\r\n4.\r\nマイクロソフトにおける観測  セキュリティ侵害の事例は、増加傾向にある  攻撃手法や対象の広が\r\nり、検出技術の向上 IT 障害と認識されているケースがみられる  COVID-19 パンデミック期間に増\r\n加  従来の手法＋COVID-19 をベースにしたフィッシング  環境の変化に伴う脆弱性の露出  クラウ\r\nド環境利用の増加  リモート ワーク 環境の増加 © Copyright Microsoft Corporation. All rights reserved. 4\r\n5.\r\nマイクロソフト COVID-19 セキュリティ調査 ©Copyright Microsoft Corporation. All rights reserved. 5 New\r\ndata from Microsoft shows how the pandemic is accelerating the digital transformation of cyber-security\r\nhttps://www.microsoft.com/security/blog/2020/08/19/microsoft-shows-pandemic-accelerating-transformation-cyber-security\r\n6.\r\n攻撃の一環としてActive Directory の侵害が実施される Active Directory ドメインディレクトリの調査\r\n 組織内部構造の把握  ディレクトリ内のユーザーの情報取得  ドメインユーザのアカウントの乗っ\r\n取り  組織ユーザーになりすましたフィッシング  より高い権限の取得  ドメイン管理権限の取得 \r\n任意のドメイン内ユーザーのなりますまし  永続的な侵入口の設置  痕跡の消去 © Copyright\r\nMicrosoft Corporation. All rights reserved. 7\r\n7.\r\n一般的な Active Directory侵害の流れ © Copyright Microsoft Corporation. All rights reserved. 8 Tier 2 デバイ\r\nス ローカル 管理者 Tier 0 認証基盤 ドメイン 管理権限 Tier 1 サーバー 管理者 1. ドメインクライアント\r\n端末への侵入 1. フィッシング、ソーシャルエン ジニアリング 2. ブルートフォース攻撃 2. ラテラル・\r\nムーブメント Lateral Movement (横方向への移動) 1. 探索活動 2. 別のクライアントへの侵害 1. 特権昇格\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 1 of 10\n\n1. サーバ管理者権限の取得 2. ドメイン管理者権限の取得 3. ドメイン 2. 目的の実行 1. 情報取得、ラン\r\nサムウェア 2. 永続的なアクセス口の設置 3. 痕跡の削除\r\n8.\r\nActive Directory 侵害の特徴 ©Copyright Microsoft Corporation. All rights reserved. 9 “乗っ取り” を中心とし\r\nた侵 入拡大 複雑なAD環境 に起因する問題 侵入者の追跡が 困難 対応・復旧が 困難\r\n9.\r\nActive Directory 侵害の特徴 ©Copyright Microsoft Corporation. All rights reserved. 10 “乗っ取り” を中心と\r\nした侵 入拡大 複雑なAD環境 に起因する問題 侵入者の追跡が 困難 対応・復旧が 困難\r\n10.\r\n“乗っ取りアカウント” を軸に侵入を展開する © CopyrightMicrosoft Corporation. All rights reserved. 11 ユ\r\nーザー クライアント端末 サーバー サーバー管理者 ドメイン管理者 認証サーバー ドメインコントロー\r\nラ フィッシング ソーシャルエンジ ニアリング 総当たり Active Directoryドメイン\r\n11.\r\nドメイン内のユーザーになりすます  ユーザー名、パスワードを取得し認証する  推察しやすい・簡\r\n単なパスワードで認証を試みる 平文で記載されているパスワードを取得する  例：ユーザー、管理\r\n者がメモとして記載している  例： バッチファイルに記載されている  “Derived credentials” (プロト\r\nコルが利用する派生資格情報) を取得し再利用する  NTLM 認証： ハッシュ化されたパスワード\r\n(NTOWF: NT One Way Function)  Kerberos 認証：  TGT, TGS, TGT セッション鍵, TGS セッション鍵 \r\nDES, RC4 == NTOWF, AES keys 12© Copyright Microsoft Corporation. All rights reserved.\r\n12.\r\nドメイン内のユーザーになりすます  ユーザー名、パスワードを取得し認証する  推察しやすい・簡\r\n単なパスワードで認証を試みる 平文で記載されているパスワードを取得する  例：ユーザー、管理\r\n者がメモとして記載している  例： バッチファイルに記載されている  “Derived credentials” (プロト\r\nコルが利用する派生資格情報) を取得し再利用する  NTLM 認証： ハッシュ化されたパスワード\r\n(NTOWF: NT One Way Function)  Kerberos 認証：  TGT, TGS, TGT セッション鍵, TGS セッション鍵 \r\nDES, RC4 == NTOWF, AES keys 13 管理の盲点 © Copyright Microsoft Corporation. All rights reserved.\r\n13.\r\n14.\r\n15.\r\n16.\r\n17.\r\n取得した派生資格情報を攻撃に利用するには  解明し、利用する  レインボーテーブルによる解析 \r\n危殆化した暗号・ハッシュアルゴリズムの既知の問題を用いた解析  派生資格情報を再利用する  も\r\nともとのパスワードや鍵を取得していない状態で攻撃が可能  攻撃手法の例  Pass-the-Hash 攻撃:\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 2 of 10\n\nNTLM 認証において NTOWF を再利用する  Pass-the-Ticket 攻撃 : Kerberos 認証においてチケット、キ\r\nーを再利用・偽造する 18© Copyright Microsoft Corporation. All rights reserved.\r\n18.\r\n19.\r\nツールの拡大による攻撃手法の広まり  セキュリティ研究目的などから ツールが開発  2006年ごろか\r\nらツール化が盛んに  侵入テストの需要増とともにツールの開発も 盛んに  Windows Credential Editor\r\n Mimikaz  ツールの実行にはローカル管理者 権限が必要  Post-Exploitation として利用される 20\r\nWindows Credential Editor © Copyright Microsoft Corporation. All rights reserved.\r\n20.\r\nドメイン内の“乗っ取りアカウント” に対する対策が不足している  “ActiveDirectory ドメイン内 = 安\r\n全” とみなし、ドメインユーザーがすでに侵害されていること を前提とした対策が不足している  特\r\n権分離の不足  特権昇格の脆弱性への対応不足  悪用が多く報告されている脆弱性の例：  MS14-\r\n068 Kerberos の脆弱性により特権が昇格される (3011780)  MS17-010 Microsoft Windows SMB サーバー\r\n用のセキュリティ更新プログラム (4013389)  CVE-2020-1472 [AD 管理者向け] CVE-2020-1472 Netlogon\r\nの対応ガイダンスの概要 – Microsoft Security Response Center © Copyright Microsoft Corporation. All rights\r\nreserved. 21\r\n22.\r\n23.\r\n24.\r\n25.\r\n26.\r\n27.\r\n28.\r\n29.\r\n30.\r\nActive Directory 侵害の特徴 ©Copyright Microsoft Corporation. All rights reserved. 31 “乗っ取り” を中心と\r\nした侵 入拡大 複雑なAD環境 に起因する問題 侵入者の追跡が 困難 対応・復旧が 困難\r\n31.\r\nActive Directory の根本的な構成や管理不足の問題に起因することが多い セキュリティ更新が行われ\r\nていない  ドメインコントローラ、重要なサーバーへのセキュリティ更新が行われていない  Active\r\nDirectory 構成の複雑化による十分なセキュリティ設定の不足、認識ミス  複雑なグループポリシー、\r\n例外設定により構成把握が実施できていない  バッチやタスク処理の不十分なセキュリティ（平文パ\r\nスワード入れ込み）  ファイルサーバ、アプリケーションサーバーの導入に伴う特権の払いだし  管\r\n理組織上の問題による管理不足および対策の実施困難性 © Copyright Microsoft Corporation. All rights\r\nreserved. 32\r\n32.\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 3 of 10\n\nActive Directory 侵害の特徴 ©Copyright Microsoft Corporation. All rights reserved. 33 “乗っ取り” を中心と\r\nした侵 入拡大 複雑なAD環境 に起因する問題 侵入者の追跡が 困難 対応・復旧が 困難\r\n33.\r\n34.\r\n既定のツール (“living offthe land” ) やコマンドの利用  Windows コマンド  Tasklist, ver, whoami, net\r\nuser, net group, klist 等  Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行  AD 標準\r\nツール・コマンド  LDAP クエリ  ADユーザー権限でLDAPクエリを通常の権限・設定で投げ、情報\r\nを収集可能  所属しているグループ、アクセス権限  インターナルフィッシング  UPN メールアド\r\nレス、電話番号  Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行  単なるツール\r\nのブロック、イベントの検出だけでは検知が難しい。  正常と異常を定義し、ほかのアクティビティ\r\nと照らし合わせて相関関係を調査する必要がある © Copyright Microsoft Corporation. All rights reserved.\r\n35\r\n35.\r\n140日以上 長期的に侵入されているケースが多い  セキュリティ対応以外から、AD侵害が発覚する事\r\n例  (例)別の障害調査の過程で、意図していないユーザー、構成が発覚する  (例) バッチ処理の失敗\r\nの要因調査過程で不審なファイルが発覚する  セキュリティ観点からの調査を行った結果、長期的に\r\n侵害されていることが判明する  初期侵入のログは、アラートとしてあがっていない 最初のホスト侵\r\n害 ドメイン管理者 侵害 攻撃の検出 調査＆準備 侵害拡大 24-48 時間 © Copyright Microsoft Corporation.\r\nAll rights reserved. 36\r\n36.\r\nActive Directory 侵害の特徴 ©Copyright Microsoft Corporation. All rights reserved. 37 “乗っ取り” を中心と\r\nした侵 入拡大 複雑なAD環境 に起因する問題 侵入者の追跡が 困難 対応・復旧が 困難\r\n37.\r\n特徴４：迅速な対応、完全な復旧が難しい Active Directory侵害の調査および復旧作業は、長期化する\r\n傾向にある  運用、ビジネスへの影響懸念 ドメインコントローラの即時停止、長期停止ができない\r\nため時間を要する、限定的な対応に限られる  依存するアプリケーションの影響調査  関連組織、影\r\n響調査との調整の難航  例：ネットワーク管理部門、アプリ部門との調整  調査のためのログ導入、\r\nツール導入における承認の難航、システム上の制限  限られた予算での限定的な対応  事前に想定し\r\nている障害対応予算を超える対応が必要となる場合がある  侵入者の全容を調査することが困難  長\r\n期的な侵害のため、ログが残されていない  調査に必要なログが残されていない（例：異常系のイベ\r\nントログしかない、ネットワークのログがない）  十分な復旧が実施できない  必要とされてる復旧\r\nを正しく理解できていない  組織上の問題で対策を実施できない 38© Copyright Microsoft Corporation.\r\nAll rights reserved.\r\n38.\r\n事例：繰り返し被害にあう組織の増加  一度侵入の痕跡を調査し、対策を行ったが、繰り返し被害に\r\n遭うケースがみられる  よく見られる原因 調査が不十分  例：侵入者が設置した永続的な接続口、\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 4 of 10\n\nすでに侵害されているアカウントをすべて除去しきれていないれていなかった  例：フォレスト内の\r\n別のドメインの調査を実施していなかった  必要十分な対策、根本的な対策を実施していない  例：\r\n最初に乗っ取られたアカウントをリセット、ドメイン管理者やドメイン鍵 (trbtgt) リセットは実施して\r\nいない  例：ドメインを再構築したが、運用を変更しなかった © Copyright Microsoft Corporation. All\r\nrights reserved. 39\r\n40.\r\n41.\r\nパンデミックが示唆するこれからのセキュリティ © Copyright MicrosoftCorporation. All rights reserved. 42\r\nユーザに寄り添った セキュリティを意識 させないIT基盤 誰もが ゼロトラストへの 取り組みを進めて\r\nい る 多様なデータ セットが優れた脅威 インテリジェンスに つながる サイバー レジリエンスは 事業\r\n運営の 基礎である 後付け型の セキュリティは 終息する\r\n42.\r\nActive Directory の保護ロードマップ Active Directory 管理階層モデルの導入  特権アクセスの保護 お\r\nよび ID保護  特権アクセスワークステーション (PAW) の保護およびドメインデバイスの保護  適切\r\nな監視と迅速な対応  調査と復旧 © Copyright Microsoft Corporation. All rights reserved. 43\r\n43.\r\nActive Directory 管理階層モデル:高い権限の特定と分離 44 Tier 0 認証管理 Tier 1 サーバー管理 Tier 2 端\r\n末管理 • フォレスト、ドメイン管理 (特にDomain Admins, Enterprise Admins) • 証明局 (CA) 管理 • アプリ\r\nケーション、データベース 管理 • クライアント端末、デバイス 管理 © Copyright Microsoft Corporation.\r\nAll rights reserved.\r\n44.\r\n優先的に保護するべき高い権限をもつアカウント  ドメイン管理者 (DomainAdministrators) およびドメ\r\nイン管理者と同レベルの特権を持つアカウント  Domain Administrators, Enterprise Administrators,\r\nSchema Administrators, Account Operators, Backup Operators BUILTINAdministrators  ドメイン コントロー\r\nラを管理するために利用しているアカウント  (例) System Center Operations Manager System Center\r\nConfiguration Manager の Operations/Configuration Manager administrators  特権アカウントが稼働してい\r\nるホストの hypervisor server administrators  ドメイン内のデバイスで高権限で稼働するアカウント \r\nService accounts used for software installation or updates  Service accounts used for security scans  Service\r\naccounts for backup  Shared local administrator accounts  ビジネスへの影響が高いシステム、アカウント\r\n 電子メール、ファイル共有、コンテンツ共有など  組織のVIP のアカウント、秘書、研究者、IT 管\r\n理者 © Copyright Microsoft Corporation. All rights reserved. 45\r\n45.\r\nActive Directory 管理階層モデル：管理権限 46 Tier0 認証管理 Tier 1 サーバー管理 Tier 2 端末管理\r\n(Domain Admins, Enterprise Admins) © Copyright Microsoft Corporation. All rights reserved.\r\n46.\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 5 of 10\n\nActive Directory 管理階層モデル：ログオン制限 47 Tier0 認証管理 Tier 1 サーバー管理 Tier 2 端末管理\r\n(Domain Admins, Enterprise Admins) © Copyright Microsoft Corporation. All rights reserved.\r\n47.\r\n48.\r\nActive Directory 特権アカウントの保護 49 対策目的 対策の効果 対策作業量 組織内の権限を分離する 攻\r\n撃者がドメイン内の異なる端 末へ侵入を広げる機会を減らす 非常に高い 高 特権アカウントの保護 • 通\r\n常のドメイン管理は委任し、必要とする作業の みに利用 • 高い特権を持つアカウントを使用してイン\r\nター ネットを参照禁止 • Enterprise Admins、Domain Admins、 Administrators グループの多用を禁止 •\r\nKerberos 認証のみ、キャッシュ ログオン禁止、 DES/RC4 の禁止, 委任禁止、チケット有効期限 4 時 間\r\nドメイン管理権限を保護 非常に高い 中 専用の高い権限を持つ端末の利用と要塞化 高い権限を扱う端\r\n末を要塞化す ることで攻撃者の機会を減らす 高 中～高 © Copyright Microsoft Corporation. All rights\r\nreserved.\r\n49.\r\n50.\r\nローカル管理者権限の保護② 横展開防止  同じレベルの権限の端末へ侵入を広げることを防ぐ 同じ\r\nパスワードやハッシュの悪用  ネットワーク上の攻撃者の操作性を制限する 51 対策名 目的 対策の効\r\n果 対策作業量 異なるローカル管理者アカウント資 格情報 ※LAPS ツール 攻撃者がドメイン内の異な\r\nる端 末へ侵入を広げる機会を減らす 高 中～高 ローカルアカウントのネットワーク 越しの操作制限、\r\nログオン防止 ※新しい well-known SIDs の活用 遠隔地にいる攻撃者がローカル 管理者を悪用すること\r\nを防ぐ 高 中 © Copyright Microsoft Corporation. All rights reserved.\r\n51.\r\nLocal Administrator PasswordSolution (LAPS)  ローカル管理者アカウント資格情報を管理する  ランダ\r\nムなパスワード設定  使いまわしを防ぐ  AD側からの一元管理  注意：  KB3062591 の追加インス\r\nトールが必要  スキーマ拡張、クライアントサイド拡張が必要 52© Copyright Microsoft Corporation. All\r\nrights reserved.\r\n52.\r\nローカルアカウント管理者のネットワークログオン制限  遠隔地にいる攻撃者がローカル管理者を悪\r\n用することを防ぐ  グループポリシー コンピューターの構成 - Windowsの設定 - セキュリティの設\r\n定-ユーザー権利の割り当て - [ネットワーク経由のアクセ スを拒否]  新しい セキュリティ識別子\r\n(SID) を活用したログオン制限の実施  Windows 8 以降既定、Windows 7 / Windows server 2008 R2 は マ\r\nイクロソフト セキュリティ アドバイザリ 2871997 (KB2871997) 適用後利用可能  S-1-5-113 Local\r\nAccount  S-1-5-114 Local Account and member of Administrators group  構成  ネットワーク経由でコン\r\nピューターへアクセスを拒否する（SeDenyNetworkLogonRight）  バッチ ジョブとしてログオンを拒\r\n否する（SeDenyBatchLogonRight）  サービスとしてログオンを拒否する（SeDenyServiceLogonRight）\r\n ターミナル サービスを使ったログオンを拒否する（SeDenyRemoteInteractiveLogonRight）  プログ\r\nラムをデバッグ（SeDebugPrivilege）（権限の昇格とプロセ スの挿入の試みに使用される許可） \r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 6 of 10\n\nWindows でローカル アカウントのリモート使用をブロックする方法 53© Copyright Microsoft\r\nCorporation. All rights reserved.\r\n53.\r\n54.\r\nセキュリティ更新プログラムの適用  ドメインコントローラ―およびドメイン内の重要サーバーへの\r\n更新プログラムの適用を定期的 に実施する  [推奨]公開されているすべてのセキュリティ更新プログ\r\nラムの早期適用  優先付けが必要な場合はリスクを評価し順次適用  既知の悪用が報告されている脆\r\n弱性  MS14-068 Kerberos の脆弱性により特権が昇格される (3011780)  MS17-010 Microsoft Windows\r\nSMB サーバー用のセキュリティ更新プログラム (4013389)  「ゼロデイ」での悪用が報告されている\r\n新規の脆弱性  CVSS スコア、悪用可能性指標が高い脆弱性  2020年8月CVE-2020-1472 Netlogon の特\r\n権の昇格の脆弱性  リモートコード実行を可能とするなど、深刻度「緊急」の脆弱性  特権昇格の脆\r\n弱性 (深刻度「重要」） © Copyright Microsoft Corporation. All rights reserved. 56\r\n55.\r\n推奨されるセキュリティ設定 Windows セキュリティベースライン、Security ComplianceToolkit \r\nWindows セキュリティベースライン (Windows security baselines)  Security Compliance Toolkit (SCT)  マ\r\nイクロソフトが策定したセキュリティ設定に関す るベスト プラクティス  グループポリシー、\r\nMicrosoft System Center Configuration Manager に適用可能なテンプレート  設定一覧ドキュメントも提\r\n供  最新バージョン  Windows 10 Version 2004, Windows Server Version 2004 に対応 (2020/8 時点) \r\nhttps://blogs.technet.microsoft.com/secguide/  Security Compliance Manager は廃止 57© Copyright Microsoft\r\nCorporation. All rights reserved.\r\n56.\r\nセキュリティ構成フレームワーク (SecCon)  Windows堅牢化のためのセキュリティ構成フレームワー\r\nク (Security Configuration Framework: SecCon)  必要に応じたレベルで組織内の端末 Windows の堅牢化\r\n セキュリティ、生産性、そして利便性のバランスを考慮した ５ つのレベル  Windows セキュリティ\r\nベースライン = セキュリティ構成フレームワークのレベル ３ © Copyright Microsoft Corporation. All\r\nrights reserved. 58\r\n57.\r\nAttack Surface Analyzer Attack Surface Analyzer 2.0  Windows, Linux, macOS をサポート  GitHub  シ\r\nステムの状態を比較  ソフトウェアのインストール前後  攻撃対象領域への影響を分析  ファイル、\r\nレジストリキー、サービス、 ポート 等 59© Copyright Microsoft Corporation. All rights reserved.\r\n58.\r\nドメイン管理者の専用端末 (PAW)  管理を行うための専用端末 管理者が資格情報を入力しログオン\r\nする端末  管理者が RDP 接続などでセッションやツールを実行する端末  特に Tier 0 ドメイン管理権\r\n限が利用する端末  セキュリティ構成フレームワーク (Level 4, Level 5) による推奨構成  要塞化の対\r\n策例  資格情報の盗難に対する保護を有効にする  クレデンシャルガードを利用する  Secure Boot\r\n/Secure Launchを有効化する  エクスプロイトガードを有効化する  ネットワーク分離をする (インタ\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 7 of 10\n\nーネット接続との分離、DC 接続以外との分離）  ローカル管理者権限と分離する  Applocker, Device\r\nGuard などを利用してインストールするソフトウェアの制限をする  Attack Surface Analyzer などを利\r\n用して、侵入口の検証をする  クリーンなインストールイメージであることを確認する  Bitlocker な\r\nどを利用してディスク暗号化をする  USB 接続を禁止する  マルウェア対策ソフトを実行する 60©\r\nCopyright Microsoft Corporation. All rights reserved.\r\n59.\r\n“乗っ取りアカウント” を軸とした侵入に有効な対策①  侵入者は、ドメインデバイスに保存されてい\r\nる資格情報を取得し、侵害を深める 各デバイスに、資格情報を残存させない、ローカル管理者でも\r\nアクセス不可にすることで、 非常に効果の高い対策となる 61 対策 目的 対策の効果 対策作業量 クレデ\r\nンシャル ガード • 独立した仮想領域に資格情報を隔離 • LSASS プロセスに対する正当なRPC呼び出 し\r\n以外のアクセスを不可能とすることで、 資格情報の窃盗を防ぐ 非常に高い 高 © Copyright Microsoft\r\nCorporation. All rights reserved.\r\n60.\r\n61.\r\n62.\r\n63.\r\nリモートデスクトップの資格情報を保護 (Restricted Adminmode)  RDP 接続において、接続先へ資格情\r\n報渡さず、接続先のローカル管理者権限を利用する  攻撃者はローカル管理者の資格情報しか取得で\r\nきず攻撃もローカルに限定される  (Local Administrators に属している必要がある) 67 資格情報 資格情\r\n報 資格情報 資格情報 資格情報 Restricted Admin mode Restricted Admin © Copyright Microsoft Corporation.\r\nAll rights reserved.\r\n64.\r\n“乗っ取りアカウント” を軸とした侵入に有効な対策② LSASS プロセスを保護する 資格情報管理する\r\nLSASS プロセスへの攻撃を防ぐ  攻撃者は LSASS プロセスへ悪意のあるプラグインを挿入し操作を\r\n試みる 68 対策 目的 対策の効果 対策作業量 LSA 保護モードの 有効化 LSASS プロセスに対する悪意の\r\nあるプラグイ ンやコードの挿入を防止し、プロセスが保持 している資格情報の窃盗を防ぐ (レジスト\r\nリで有効化） 高 高 © Copyright Microsoft Corporation. All rights reserved.\r\n65.\r\n“乗っ取りアカウント” を軸とした侵入に有効な対策③ 保存資格情報を減らす 端末が保持している資格\r\n情報がなければ攻撃者は盗めない  攻撃の機会を減らすことで防御力を高める 69 対策名目的 対策の\r\n効果 対策作業量 平文パスワード を保存しない LSASSメモリに平文パスワードを保存しないこと で、\r\n攻撃者の窃盗を防ぐ 中 低 LM ハッシュを 保存しない LM ハッシュは総当たり攻撃などに対して脆弱で\r\nあるため、パスワード解析のリスクを減らす 中 低 ログオフ後の資 格情報消去 ユーザーのログオフ後\r\nに LSASS メモリから消去 する 中 低 NTLMプロトコ ルを無効にする NTLM 認証を利用しないことで、\r\nNTLM ハッシュ を悪用する攻撃を防ぐ 低 高 ARSO 無効化 Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持をしない 中 低 © Copyright Microsoft Corporation. All rights reserved.\r\n66.\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 8 of 10\n\n参考：保存される資格情報一覧 70 平文パスワード (可逆暗号による保存) NT (NTLM) ハッシュ LM ハ\r\nッシュ TGT,TGS Keys キャッシュ ログオン 検証用 認証方式 ダイジェストNTLM LM ケルベロス\r\nSecurity Accounts Manager データベース (ローカル) - 〇 △1 - - Active Directory データベース （ドメイン)\r\n- 〇 △1 - - The Credential Manager (CredMan) ストア △2 - - - - Local Security Authority Subsystem (LSASS)\r\nプロセスメモリ △3 〇 〇 〇 - ディスク (LSA シークレット) サービスアカウント、 スケジュールタスク\r\nなど コンピューター アカウント - - - レジストリ (HKLMSecurity) - - - - 〇 1. Windows Vista/Windows\r\nServer 2008 以降は既定で保存されていない。グループポリシーで有効化されている場合は保存される\r\n2. ユーザーがパスワードを保存することを選択した場合のみ 3. セキュリティアドバイザリ 2871997, あ\r\nるいは Windows 8.1/ Windows Server 2012 R2 以降 は無効 © Copyright Microsoft Corporation. All rights\r\nreserved.\r\n67.\r\n68.\r\n69.\r\n70.\r\n71.\r\nインシデント対応と復旧  運用、ビジネスへの影響を最小限にする必要がある  ActiveDirectory は完\r\n全には停止できない前提で、対応策と復旧案をを検討しておく  例：KRBTGT アカウントのリセット\r\n手順および影響、特権アカウントのリセット、端末のリストア  繰り返し被害を受けないための対応\r\n 侵入された端末、侵入口、攻撃糸口をすべて除去できていない場合、 再度甚大な被害を受ける可能\r\n性が高い  「侵害前提」での対応と復旧が必要となる  永続的にADの侵害は発生することを前提\r\nに、長期的に最小の運用ができるように  構成の健全化、推奨構成での運用を推奨  迅速で効率の良\r\nい対応をするために調査や特定に必要なログ、優先付けられた調査フレームワークが必要 75©\r\nCopyright Microsoft Corporation. All rights reserved.\r\n72.\r\n76  オンプレミスADの脅威をオンプレで分析  AD上の ID/認証情報を利用した不正な アクティ ビテ\r\nィや振舞いを検出対応方法の提示  SIEM との統合 ATA デバイス、サーバー SIEM Active Directory\r\nAzure Advanced Threat Protection (Azure ATP) Advanced Threat Analytics (ATA) 専用のテナ ント Azure ATP\r\n管理者 管理 送信 Microsoft Threat Intelligence 活用 SIE M ATP セン サー 送信 DC © Copyright Microsoft\r\nCorporation. All rights reserved.\r\n75.\r\n78.\r\n© Copyright MicrosoftCorporation. All rights reserved. 82  概要レポート  アラートと正常性の問題の概\r\n要  機密性の高いグループに対する変更  Active Directory 内の機密性の高いグループに対するすべて\r\nの変更  クリアテキストでのパスワードの流出  ユーザーパスワードをクリアテキストで 流出させた\r\nすべての LDAP 認証  重要なアカウントに対する横移動パス  横方向の移動で危害を受けるリスクの\r\nある重要なアカウント (過去60日分の情報を表示) 指定された管理者に定期的にレポートを提供\r\n79.\r\n80.\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 9 of 10\n\nまとめ • 標的型攻撃、Active Directory侵害の事例は増加傾向にある • オンプレミス中心の組織も侵害に\r\n遭っている • 「IT 障害」のつもりが「セキュリティ インシデント」であるケース • Active Directory 侵\r\n害の特徴を理解し対策することが重要 1. 組織内での“乗っ取りアカウント” を中心として拡大する  ネ\r\nットワーク、マルウェア観点、強いパスワード、アルゴリズムの対策だけでは対策が不十分  組織内\r\nの侵入者を前提とした ID 保護が重要 2. 複雑なAD環境に起因する  AD環境の複雑化を避け、環境を\r\n把握することが予防、検出、対応に重要 3. 侵入者の検出が困難  異常系の監視、イベントログ監視だ\r\nけでは対応できない、ふるまい検出が必要 4. 復旧が困難  必要な復旧、事後対応ができていない場\r\n合、繰り返し被害に遭う • パンデミック後のゼロトラストを基調としたセキュリティ能勢を保つことが\r\n重要 • 推奨構成、ID管理（特権管理）、デバイス管理 84© Copyright Microsoft Corporation. All rights\r\nreserved.\r\n81.\r\n82.\r\n83.\r\n参考資料  Active Directoryのセキュリティ保護に関するベスト プラクティス \r\nhttps://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/best- practices-for-securing-active-directory  資格情報の保護と管理  https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and- management/credentials-protection-and-management © Copyright\r\nMicrosoft Corporation. All rights reserved. 87\r\nSource: https://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nhttps://www.slideshare.net/yurikamuraki5/active-directory-240348605\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.slideshare.net/yurikamuraki5/active-directory-240348605"
	],
	"report_names": [
		"active-directory-240348605"
	],
	"threat_actors": [],
	"ts_created_at": 1775434737,
	"ts_updated_at": 1775826704,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/53f245a1a1a45a7720c5b2a0232bf95f908e6ff9.pdf",
		"text": "https://archive.orkl.eu/53f245a1a1a45a7720c5b2a0232bf95f908e6ff9.txt",
		"img": "https://archive.orkl.eu/53f245a1a1a45a7720c5b2a0232bf95f908e6ff9.jpg"
	}
}