標的型攻撃でADの管理者アカウントが悪用される - JPCERT/CCが注意喚起

JPCERT/CCは12月19日、Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起を行った。

これは、複数の標的型攻撃の分析によって確認されたもので、長期間に渡って国内の会社組織のネットワークに侵入して潜伏、情報を盗み取られていた。

これらの攻撃では、内部に侵入した攻撃者がActive Directoryのドメイン管理者アカウントの認証情報を不正取得し、横断的な攻撃活動を行っていたという。

組織内で運用している管理者アカウントは、組織内システムに対して幅広いアクセスができるため、業務端末やサーバーへの侵入、組織内部におけるマルウェア感染の拡大、情報を盗み取るなど、多岐に渡って様々な行動が可能となる。

現時点でJPCERT/CCが確認している事例では、組織内部に侵入した攻撃者による管理者アカウントの不正使用の検知は、ログの定期的な確認によってできたものが多数あったという。

JPCERT/CCでは、こうした攻撃への対策として複数の対処例を挙げている。例えば、確認されている攻撃手法として「運用上必要のない管理者アカウントが攻撃活動に利用された」というものがある。

そのため

使用していないはずのアカウントが使用されていないか
管理者がログオンすることのないユーザー端末やサーバー、ドメインコントローラーへのログオン・ログオン試行がないか
管理者アカウントの運用を行うはずのない端末で管理者アカウントが使用されていないか
本来利用しないはずの休日や業務時間から大きく離れた深夜・早朝などにアクセスがないか
管理者アカウントが勝手に追加されていたり、ポリシーの変更、イベントログの削除といった、想定外の操作が行われていないか

といった項目の確認を行うように呼びかけている。また、これらの確認に合わせて、不必要なアカウントの削除・管理見直しやアクセス制限、多要素認証、定期的なアカウント利用状況の確認も行うように合わせて発表している。