標的型攻撃でADの管理者アカウントが悪用される - JPCERT/CCが注意喚起

そのため

使用していないはずのアカウントが使用されていないか
管理者がログオンすることのないユーザー端末やサーバー、ドメインコントローラーへのログオン・ログオン試行がないか
管理者アカウントの運用を行うはずのない端末で管理者アカウントが使用されていないか
本来利用しないはずの休日や業務時間から大きく離れた深夜・早朝などにアクセスがないか
管理者アカウントが勝手に追加されていたり、ポリシーの変更、イベントログの削除といった、想定外の操作が行われていないか

といった項目の確認を行うように呼びかけている。また、これらの確認に合わせて、不必要なアカウントの削除・管理見直しやアクセス制限、多要素認証、定期的なアカウント利用状況の確認も行うように合わせて発表している。