標的型攻撃でADの管理者アカウントが悪用される - JPCERT/CCが注意喚起

JPCERT/CCは12月19日、Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起を行った。

これは、複数の標的型攻撃の分析によって確認されたもので、長期間に渡って国内の会社組織のネットワークに侵入して潜伏、情報を盗み取られていた。

これらの攻撃では、内部に侵入した攻撃者がActive Directoryのドメイン管理者アカウントの認証情報を不正取得し、横断的な攻撃活動を行っていたという。

組織内で運用している管理者アカウントは、組織内システムに対して幅広いアクセスができるため、業務端末やサーバーへの侵入、組織内部におけるマルウェア感染の拡大、情報を盗み取るなど、多岐に渡って様々な行動が可能となる。

現時点でJPCERT/CCが確認している事例では、組織内部に侵入した攻撃者による管理者アカウントの不正使用の検知は、ログの定期的な確認によってできたものが多数あったという。

JPCERT/CCでは、こうした攻撃への対策として複数の対処例を挙げている。例えば、確認されている攻撃手法として「運用上必要のない管理者アカウントが攻撃活動に利用された」というものがある。