ネットワークの重要な部分である Active Directory (AD) は、特にユーザーと ID の管理という点では生命線とも言えます。多くの企業が AD を中核的なディレクトリサービスとして位置づけ、ユーザーと IT 資産を識別、追跡し、適切に管理できるようにしています。
Active Directory にはこれらすべての ID が保管され、IT 資産がログ記録されます。このディレクトリデータを通じて侵害や異常な動作を特定できますが、Active Directory が監視されていなければ、悪意のある者がネットワークに侵入し始めたときに見逃されてしまいます。
また、Active Directory 自体も攻撃対象領域になります。サイバー犯罪者が Active Directory に侵入すると、ディレクトリ内に統合されているすべてのサービス、資産、およびユーザーが侵害を受ける可能性があります。
ほかのソフトウェアやデバイスと同様、Active Directory もイベントのログを作成します。IT インフラ監視ソリューション (ITIM) は、これらのログを監視し、注意が必要な異常や傾向を警告できます。
侵害の発見に数か月から数年かかる場合があることはよく知られていますが、侵害の証拠はイベントログ、特に Active Directory ログに記録されている可能性があります。これらのログを監視し、問題を示すアラートを設定することは、侵害の芽を摘むことにつながります。
Active Directory に関する説明
Active Directory は、IT 部門がネットワークとコンピューティングインフラストラクチャを管理する重要な方法であり、ID およびアクセス管理 (Identity and Access Management、IAM) システムのまさに基盤です。このディレクトリサービスは、ユーザー、デバイス、アプリケーション、およびグループに関するデータを (通常はログを通じて) 記録します。また、ネットワークがどのように構成されているか、どのアプリケーションやサービスが他のアプリケーションやサービスに依存しているかを示す階層構造も作成されます。このアプローチでは、ネットワークに接続されているすべてのものを1つの場所から表示できます。
Active Directory は、エンドユーザーがアプリケーションサービスやその他のリソースにアクセスするための重要な手段です。Active Directory は、ケルベロス認証とシングルサインオン (Single Sign-On、SSO) を使用します。シングルサインオンで、一度資格情報が認証されると、繰り返し資格情報を要求されることなく、許可されたリソース、ネットワーク、サービスにアクセスできます。Active Directory には多くの識別データも含まれ、特権や認証を含むユーザー情報の中核的なリポジトリとして機能します。
Active Directory は、ユーザー、アプリケーションその他の IT インフラストラクチャへの便利なロードマップですが、便利さは裏返せばリスクにもなり得ます。プログレスのブログ「Active Directory とは何か?」で、「ネットワークには多種多様なデータやファイルが様々な場所に保存されていますから、すべてのファイルの正確な名前と場所を覚えていることは不可能に近いでしょう。ファイルの正確な場所がわからないという問題は、階層構造を的確に扱うことができるコンテナを作成するディレクトリサービスを使うことで解決できます。ディレクトリサービスを利用すると、オブジェクトを、速やかに検索でき、簡単にアクセスできるようなかたちで保存できます。」と説明していますが、検索するときに使うディレクトリサービスは、サイバー犯罪者に侵入されてアクセスされれば、サイバー犯罪者に重要なデータがどこにあるかを示すことになります。
Active Directory の監視
Active Directory を監視することは、ネットワーク自体を監視することにもなり得ます。Active Directory は、そこに含まれるすべてのオブジェクトで何が起こっているかを高レベルで表示します。Active Directory を適切に監視していなければ、この重要なデータを利用できません。Active Directory の集中管理機能で、ネットワーク全体への優れた窓口を得ることができます。
既述のように、Active Directory 自体がサイバー攻撃者にとっては魅力的な攻撃対象領域であり、不審な動きの兆候に注意する必要があります。Microsoft は、「Active Directory の侵害の兆候を監視する」という記事で、イベント監視とログ分析は不可解ながら明らかに非効率的であり、検出対策を行う意義があると指摘し、リソースの分析にもっと熱心に取り組んでいれば、侵害を発見するのに十分な証拠がログ内に存在したとする被害者が 66% を占めるという数字を挙げています。
AD 監視ツールは、パフォーマンスの低下や不正アクセスなどの異常な動作が検出されると、その動作にフラグを立てて警告をトリガーできます。サイバー攻撃者が侵入して特権を獲得しようとしているような動きを突き止めることにつながる不正アクセスの検出機能は特に重要です。悪意あるアクティビティがすぐに検出できれば、重大な被害が発生する前に何らかの対処をすることが可能になります。
AD 監視で、問題がある可能性があるとして警告の対象になり得る次のような項目を追跡できます。
- グループポリシーの変更
- 特権の変更
- ディレクトリの複製
- ディレクトリサービスへのアクセス
- ロックされたユーザーまたは非アクティブ化されたユーザー
- ドメインコントローラのパフォーマンス
- ドメインコントローラ認証
- サービスディレクトリファイル (NTDS)
- システムイベント
- 資格情報の検証
AD ユーザー監査を実行して、ログイン監視やリモートデスクトップサービスセッションなどの個々のパフォーマンスと動作を確認することもできます。
Active Directory 監視の必要性
Active Directory を監視し、サイバー犯罪者が活動している兆候を発見できれば、サイバー犯罪者がそこに定着して損害が発生する前に早期検出して対処することができます。実際、多くの (ほとんどではないにしても) 侵害は、何らかの形で Active Directory に関係しています。Active Directory 監視の必要性の最大ポイントはこの点です。
サイバー犯罪者にとって Active Directory は、次のような多くの理由で魅力的な攻撃対象領域となっています。狙われやすい Active Directory を監視しないですませるわけにはいかないでしょう。
- Active Directory にはネットワークに関連付けられたユーザーの完全な階層ビューが含まれているので、ネットワークの設計図を入手して広範な攻撃を計画できます。
- Active Directory に侵入すると、組織内 (多くの場合は水平方向) に移動し、アプリケーション、データ、ユーザー ID と特権情報をくまなく調べることができます。
- この ID 情報を使用して、特権昇格攻撃を開始し、すべてを自由に操作できる特権を獲得することができます。
- 単なるデータ窃盗に留まらず、高レベルの権限を利用して広範囲にわたるランサムウェア攻撃を展開し、組織を機能不全に至らせて、莫大な見返りの要求につなげられる可能性があります。
- ハッカーは、AD がどこにでもあることと、その複雑さに対して、興味をそそられます。