クラウドおよびハイブリッド環境の資格情報に対する攻撃を検知し、迅速なインシデント対応を促すAzure Advanced Threat Protection(Azure ATP)。前回に続き、今回は、実際の資格情報を軸とした組織への侵入の流れを追いながら、Azure ATPを利用してどのようにインシデント対応を行うことができるのかを紹介します。

Active Directory資格情報の侵害の流れ

昨今の標的型攻撃などによる組織への侵入は、組織内の資格情報を軸として行われることが多くあります。攻撃者は、外部からいきなり認証サーバやデータベースサーバへ侵入するのではなく、比較的侵入しやすいクライアント端末を入り口として、徐々に組織の重要なサーバへと侵入領域を広げていきます。

攻撃者は、まず、侵入の対象としている組織の構成状況を調べるなど、偵察行為をします。たとえば、利用しているサービス、セキュリティソフト、ドメイン名、ポート。そういった情報を基に、標的型メールの送付やマルウェア感染への誘導などによって、クライアント端末を利用している組織内の一般ユーザーを狙います。

その後、組織内のほかのユーザーやサーバへと侵害を深めていき、最終的にはドメインコントローラを侵害し、ドメイン内のさまざまなユーザーに成り済ましたり、特権を持つ攻撃用アカウントを作成したりして、ドメインを自分の思いのままに操ることができるようにします。

資格情報の侵害の流れ

ここで注目したいのは、攻撃者は、侵入の初期では、フィッシングやマルウェアなどを利用してユーザーの資格情報を取得しますが、それ以降、組織内のほかの資格情報窃取には、必ずしもフィッシングやマルウェアを利用するわけではない、という点です。代わりに、端末に残されている「ログオンしたユーザーのハッシュ化された認証情報」を再利用して、ほかのユーザーの資格情報を窃取する攻撃手法などを利用します。

例えば、管理効率化のために組織内の全ての端末で同じIDとパスワードのローカル管理者を利用しているケース※1では、攻撃者が端末に残されている「ローカル管理者のハッシュ化された資格情報」を再利用し、ほかの端末へそのローカル管理者としてログオンします※2。そして、新たに侵入したマシンに残されているほかのドメインユーザーのハッシュ化された資格情報を盗み、また次の端末へ移動する、といったように侵入と資格情報の窃取を繰り返し、より権限の高いユーザーを探していくわけです。

このように、ドメイン内での侵入は資格情報を軸にして行われるため、「ウイルス感染被害がないから大丈夫」というのは、組織内への侵害状況を正確に把握していることにはなりません。正規のユーザーアカウントによる操作が、実際には、攻撃者によって乗っ取られたものである可能性があるからです。

そうした操作は、一般的にはエラーや監査の失敗のアラートとしては記録されないため、ログ監視による検出だけでは十分な侵入対策にならないこともあります。したがって、「正規のアカウントが通常と異なる動作をしている」「よく知られる攻撃手法に似た動作をしている」などといった兆候から、いち早く侵害されたアカウントを検出し、対策を行うことが必要です。Azure ATPは、ドメインに所属するユーザーやコンピュータなどのアカウントをモニターし、早い段階で侵害の可能性を検出することで、早急なインシデント対応を促します。

※1 LAPSツールを利用することにより、ローカルアカウントの管理者のパスワードを変更/管理することができます。詳細は、筆者のブログ「Local Administrator Password Solution (LAPS) の提供を開始」を参照してください。

※2  端末にログオンしたユーザーの資格情報のハッシュを残さないように設定変更することもできます。詳細は、マイクロソフトのガイダンス「Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 1 and 2」を参照してください。

AzureATPでの検出例

これまでは、攻撃者が侵害したアカウントを使ってドメイン内で行っている動作を調査するためには、正常系を含めたイベントログやネットワーク情報を収集し、手作業あるいはツールでログを突き合わせながら確認することが多く、インシデント対応に多大な時間を要するケースもありました。

Azure ATPの管理画面では、収集したログを自動で分析し、また、組織への侵入の流れに沿ってタイムライン表示するため、攻撃者の動作の流れをつかみやすく、効率の良い調査が可能です。

Azure ATP 管理画面で確認することができる侵入に関するイベントのタイムライン。最新のイベントが最上部に表示される

上記の例では、最初に偵察行為として、DNSの列挙、SMBセッションの列挙、SAMR列挙が行われています。その後、overpass-the-hash攻撃などにより、保存された資格のハッシュ情報の再利用などを行うことで、ほかのアカウントへの成り済ましを行い、組織内への侵害を深めています。

そして、ドメインコントローラ(Contoso-DC)にアクセスしてDCの複製を実施し、ADデータベースのコピーを窃取しています。最終的に、ドメイン内のリソースへの自由なアクセスを実現する「ゴールデンチケット」による攻撃を行っていることがわかります。

また、アカウントごとに状況を確認することも可能です。特定のアカウントで行われたアクティビティや利用している端末、アクセスした端末などを表示できるため、「侵害を受けたアカウントから関連アカウントを確認して対処を行う」といったことが容易に行えます。

アカウントごとのアクティビティや接続先を確認することもできる

今回の例では、Jeff Victimというユーザーアカウントが攻撃者に乗っ取られていると考えられ、このアカウントが利用しているアカウントと、接続先が表示されています。このアカウントを正常化し、利用した端末/接続先の端末をチェックすることで、侵害の可能性を確認してインシデントへの対処を行うことができます。

近年、Idはセキュリティの中心的役割を担い、Id保護は重要性を増しています。Id ProvideであるActive Directoryへの侵害を検出して対応するためには、単にウイルス対策をしたり、エラーのアラートを収集したりするだけではなく、正常なユーザーの操作にも攻撃の予兆がないかを調査するといった専門知識が必要となります。Azure ATPを利用して、さまざまな脅威の兆候を自動で分析することで、迅速なインシデント対応が可能になります。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。