🛡️はじめに
第8回では、ランサムウェア攻撃が「単なる1台の感染」から「組織全体の壊滅」へと発展するクリティカルなフェーズ、内部潜伏と横展開(Lateral Movement) について解説します。
攻撃者がなぜ執拗に Active Directory (AD) を狙うのか。その技術的なメカニズムと、防御の勘所を紐解きます。
🏰 1. なぜActive Directoryは「王城」なのか?
初期侵入に成功した攻撃者が次に行うのは、ネットワーク内を探索し、より高い権限を持つアカウントを奪取することです。このプロセスを「横展開(ラテラルムーブメント)」と呼び、その最終ゴールはほぼ例外なく Active Directory (AD) の完全掌握です。
ADが「認証の心臓部」である理由
ADは組織内のユーザー、PC、サーバー、権限を一元管理するディレクトリサービスです。攻撃者にとってADを掌握することは、以下の特権を手に入れることを意味します。
全端末へのフリーパス
ドメイン管理者(Domain Admin)権限を得れば、組織内のあらゆるサーバーやPCにログイン可能になります。パスワードを知らなくても、権限さえあれば全システムへアクセスできる状態です。
「スーパー・スプレッダー」化
グループポリシー(GPO)を改ざんすることで、全端末に対して一斉にランサムウェアを実行させるコマンドを配布できます。一台ずつ感染させる必要がなく、数分で数百台、数千台を暗号化できるのです。
バックアップの破壊
バックアップサーバーもドメインに参加していることが多いため、AD経由でバックアップデータを削除し、復旧を不可能にします。これが「身代金を払うしかない」状況を作り出す決定打になります。
🛠️ 2. 横展開の主要テクニック:認証情報の再利用
攻撃者は、わざわざパスワードを解読(クラック)する必要はありません。メモリ内に残っている「認証の証拠」を使い回すだけで移動が可能です。これが横展開を難しくしている核心です。
① Pass-the-Hash (PtH) - ハッシュの使い回し
WindowsのNTLM認証を悪用する手法です。パスワードそのものではなく、メモリ(LSASSプロセス)にキャッシュされたパスワードハッシュを盗み出し、それを提示することで他の端末へログインします。
具体例:
管理者が一般ユーザーのPCにリモートデスクトップでログインした場合、そのPC のメモリには管理者のパスワードハッシュが残ります。攻撃者がそのPCに侵入していれば、Mimikatzなどのツールでハッシュを抽出し、他のサーバーへのログインに使い回せます。
② Pass-the-Ticket (PtT) - チケットの窃取
Kerberos認証を悪用する手法です。ログイン成功時に発行される**チケット(TGT/TGS)**をメモリから抽出し、自身のセッションに注入することで、パスワードなしで正規ユーザーになりすまします。
**TGT(Ticket Granting Ticket)**は、「あらゆるサービスへのチケットを発行してもらえる権利」を証明するものです。これを盗めば、パスワード変更後でも一定期間はアクセス可能になります。
③ Living off the Land (LotL) - 正規ツールの悪用
攻撃用の特殊なツールを使わず、Windows標準の管理ツール(PowerShell, WMI, PsExec)を悪用します。これにより、セキュリティソフトの「異常なファイルの検知」をすり抜け、正規の管理作業に見せかけて攻撃コードを実行します。
実例:
# 攻撃者は以下のような正規のコマンドでリモート実行する
Invoke-Command -ComputerName TARGET-PC -ScriptBlock {暗号化スクリプト}
これは正規のPowerShellコマンドであるため、多くのセキュリティ製品では検知が困難です。
📉 3. 恐怖のシナリオ:ドメイン支配へのルート
実際の攻撃では、以下のような段階的なプロセスでADが掌握されます。
ステップ1:偵察(Reconnaissance)
BloodHoundなどのツールを使い、AD内の設定不備や「どの一般ユーザーがどのサーバーにログインしているか」の相関図を自動作成します。このツールは、「一般ユーザーAからドメイン管理者になるための最短経路」を視覚化してくれます。
ステップ2:権限昇格(Privilege Escalation)
Kerberoasting攻撃などでサービスアカウントのハッシュを奪取し、権限を一段ずつ上げていきます。サービスアカウントは、パスワード変更頻度が低く、強度も弱いことが多いため、格好の標的になります。
ステップ3:ゴールデンチケットの作成
ドメインコントローラーからkrbtgtアカウントのハッシュを窃取すれば、ドメインの全権を握る「黄金のチケット(Golden Ticket)」を偽造できます。これにより、AD内に永続的なバックドアを構築し、パスワードが変更されても無効化されない特権アクセスを維持します。
これがゲームオーバーです。 この段階に達すると、ADの完全再構築なしには攻撃者を排除できません。
🛡️ 4. エンジニアが実施すべき「AD要塞化」の鉄則
ADを守ることは、組織の生存に直結します。以下の技術的対策を検討してください。
| 対策項目 | 技術的アプローチ | 効果 |
|---|---|---|
| 管理者権限の分離 | Tierモデル (AD Tiering) | 管理者が一般PCにログインするのを防ぎ、認証情報の漏洩を遮断する。Tier 0(DC)、Tier 1(サーバー)、Tier 2(クライアント)で厳格に分離。 |
| 認証情報の保護 | Windows Defender Credential Guard | 仮想化技術(VBS)を用いてLSASS内のハッシュやチケットを隔離し、Mimikatzでも抽出不可能にする。 |
| ローカル管理者保護 | Microsoft LAPS | 各端末のローカルAdminパスワードを個別に自動生成・ローテーションし、PtHによる横展開を防ぐ。 |
| 不審な挙動の検知 | MDI (Microsoft Defender for Identity) | ADに対する偵察行為(BloodHound実行など)や特権昇格の予兆をリアルタイムで検知する。 |
| 特権アクセス管理 | PAW (Privileged Access Workstation) | 管理作業専用の隔離された端末を用意し、一般業務との混在を完全に防ぐ。 |
追加の実践的対策
サービスアカウントの強化
サービスアカウントには、25文字以上のランダムパスワードを設定し、gMSA(Group Managed Service Accounts)の利用を検討してください。これにより、Kerberoasting攻撃のリスクを大幅に軽減できます。
ADの定期的な健全性チェック
PingCastleなどの無償ツールを使い、AD環境の脆弱性を定期的にスキャンしましょう。設定ミスや古い権限設定を可視化できます。
ログ監視の徹底
Windows Event ID 4768(Kerberos認証)、4769(サービスチケット要求)などを監視し、異常なチケット要求パターンを検知する仕組みを構築してください。
📝 まとめ:ADは「守りの要」
攻撃者は「1つの脆弱性」から侵入しますが、**「ADの1つの設定ミス」**によって組織全体を支配します。
重要なポイント:
- 横展開は、正規の管理ツール(LotL)を悪用して行われるため、従来型のアンチウイルスでは検知困難
- 認証情報の使い回し(PtH/PtT)を防ぐためのアーキテクチャ設計が不可欠
- 「一度入られたらADは数時間で落ちる」という前提で、監視と分離を徹底する
- ADの掌握 = 組織の完全制圧という認識を持ち、最優先で防御する
明日からできるアクション:
- 自組織のAD環境で、管理者が一般PCにログインしていないか確認する
- LAPSの導入状況を確認し、未導入なら検討を開始する
- MDIやPingCastleで現状のリスクを可視化する
🔜 次回予告
【Day 9】権限昇格のテクニック:攻撃者はどうやって管理者権限(Domain Admin)を奪取するか
横展開の過程で不可欠な「権限の階段」を上るための、より具体的なエクスプロイト手法について解説します。Kerberoasting、AS-REP Roasting、DCSync攻撃など、実際に使われる技術を深掘りします。