ドメインコントローラーを守れ〜ドメインコントローラー侵害のリスクと対策〜

ドメインコントローラー（DC: Domain Controller）は、組織内のITインフラストラクチャの中核を担い、ユーザーとコンピュータの認証、ディレクトリサービスの提供、ポリシー管理などの重要な役割を果たしています。そのため、ドメインコントーラーを侵害されると、壊滅的な状況に陥ってしまいかねません。実際には、サイバー攻撃事例のレポート等でDCの侵害が記述されていることは稀なのですが、それは基本的なセキュリティ対策ができていないため、DCを侵害するまでもなく攻撃者が目的を達していることが少なくないからです。基本的なセキュリティ対策ができている企業・組織においては、次のステップとして、DC侵害のリスクを認識し対策を実施していくことを検討するといいでしょう。
ちなみに、アクティブディレクトリー（AD: Active Directory）は、Microsoftが提供するサービスの名称でDCに関する機能を統合して提供しています。そのため、「DC」と並んで「AD」も多く使われています。

ドメインコントローラーの役割

DCの主な役割は、以下の３点です。

１．ユーザー認証
ユーザーがログインする際、DCは提供された認証情報を検証し、適切なアクセス権を与えます。また、ユーザーのパスワード変更やアカウント情報の更新など、セキュリティ関連の多くの要求も処理します。

２．セキュリティポリシーの適用
DCはグループポリシーオブジェクト（GPO）を通じて、組織のポリシーをネットワーク内のコンピューターに適用します。これによって、セキュリティ設定、ソフトウェアのインストール、システムの設定変更などが自動的に行われ、組織全体のIT環境の一貫性とセキュリティを保持します。

３．ディレクトリサービスの提供
ネットワーク内の様々なオブジェクト（ユーザー、コンピュータ、プリンターなど）に関する情報を格納し、管理機能や検索機能を提供します。

ドメインコントローラーが侵害されるとどうなるのか

攻撃者は、ネットワークに侵入しDCを侵害することで、以下のような活動が可能となります。

１．認証情報の窃取
ドメイン内の全ユーザーの認証情報（ユーザー名、パスワードハッシュ）を窃取することが可能。窃取した情報を悪用すれば他のアカウントのなりすましが可能になります。

２．ポリシーの変更
ドメインポリシーやセキュリティ設定を変更し、攻撃者に有利な環境を構築することができます。これによって、ネットワーク内のコンピュータに対して不正なプログラムを展開したり、セキュリティ機能を弱めたりすることが可能です。この活動は、攻撃者の長期的・継続的な侵入を許し、企業・組織にとって致命的な結果を招くことに繋がりかねません。

３．権限昇格
特定のユーザーアカウントに対して、管理者権限を付与することができる。これによって、通常はアクセスできないリソースへのアクセスが可能になります。

４．Golden Ticketの生成
ドメイン管理者権限を奪取し、さらにKerberos認証のための秘密鍵（KRBTGTアカウントのハッシュ値）の窃取に成功すると、Golden Ticketと呼ばれる偽のチケット（TGT: Ticket Granting Ticket）を生成することが可能となります。Golden Ticketは、任意のユーザーになりすますことができ、かつ、あらゆるサービスにおいて無制限に有効であるため、攻撃者はあらゆるリソースへのアクセスが可能となります。

５．他のドメインへの侵入
侵害したドメインが他のドメインと信頼関係を持っていれば、その信頼関係を通じて他のドメインにアクセスし、さらに広範囲にわたる権限を獲得したり、データを盗み出したりすることが可能になります。一例を示すと、本社のアカウントで海外支店や子会社のネットワークにログインできたり、本社のネットワークから海外支店や子会社のファイルサーバにアクセスできたりする場合、ドメインの信頼関係が結ばれていることが多く、このような会社では、海外支店や子会社経由で本社が侵害されるシナリオを考慮する必要があります。

ドメインコントローラーが侵害されるシナリオ

DCが外部に露出していることは普通はないため、攻撃者は、何らかの手段によってネットワークに侵入した後、DCの侵害に至ります。以下がその代表的なシナリオです。

１．ドメイン管理者アカウントの窃取
辞書攻撃やブルートフォース攻撃等によってドメイン管理者のID、パスワードを窃取します。以下のような脆弱な管理状態である場合、この手口で簡単に窃取されてしまいます。

・デフォルトのIDとパスワードをそのまま使用
・類推可能なIDとパスワードを使用
・管理者ID、パスワードの使い回し
・他のコンピュータに保存

２．脆弱性の悪用
DCに関するソフトウェアやOSの脆弱性を悪用することで、DCにアクセスしたり、攻撃者が窃取し悪用しているアカウントをドメイン管理者へ権限昇格したりします。

３．ドメイン管理者やドメイン操作者の端末の侵害
何らかの方法でドメイン管理者やドメイン操作者（PCヘルプデスクの担当者等）の端末を侵害し端末に保存されている認証情報（パスワードハッシュ値等）を窃取します。

ドメインコントローラーにおける対策

DCにおけるセキュリティ対策の例は以下の通りです。

１．パッチの適用
２．多要素認証の導入
３．管理専用端末の設置
４．DCへのアクセスを制限
５．Microsoft社が提供する認証情報保護機能（LSA ProtectionやCredential Guard等）の有効化
６．脆弱性診断や侵入テスト

上記の対策は攻撃を防ぐ対策ですが、それらに加えて攻撃を検知する対策を行うことが望ましいです。DCのイベントログには、ログイン、特権割り当て、チケット要求などの認証に関連するログが記録されており、DCのイベントログを定期的に確認することで侵害活動を検知することが可能です。検知のポイントは以下の２点です。

１．不審なログの有無
DCに対する攻撃が試行された際に記録されるエラーコードやGolden Ticket/Silver Ticketが使用された場合に記録される特徴的な文字列を確認する。
なお、Silver Ticket（ST）とは、特定のサービスやアプリケーションに対するサービスチケットのことです。Golden Ticket ほど万能ではありませんが、STの生成にドメイン管理者権限は必ずしも必要でなく、検知がされにくい特徴があります。

２．認証ログの確認
次の三点を確認することで、アカウントの悪用を検知することが可能です。ただし、一目で異常と判断することは難しく、平常時との比較が必要です​​。

・想定していないアカウントが特権を利用していないか
・特権アカウントを使用している端末が意図したものか
・認証回数の推移に不審な挙動がないか

＜確認すべきDCのイベントログの例＞

DCは、企業や組織のネットワークセキュリティの要であり、DCのセキュリティを確保することは、組織全体のセキュリティを保護し、ビジネスの継続性を確保するために極めて重要です。また、DCは、攻撃者にとって極めて魅力的なターゲットであるため、DCへの攻撃を検知することで、攻撃者の活動を早期に検知することが期待できます。