Active Directoryへのアクセスを阻害し、資格情報を保護する
「検知」が第一歩とはいえ、侵入者が正規の振る舞いをすることで検知そのものができないこともある。そこで「資格情報」を取得・悪用できないように保護することが必要だ。認証情報はキャッシュとして残ったものを悪用されることが多いことから、たとえば、センチネルワンの「Singularity Identity」では、認証情報を“攻撃者から見えない”ようにしたり、偽の情報を挿入したりすることで資格情報の窃取を阻止する。まずは保存されている情報を把握し、不要なものを自動的に削除したり、重要度が高いものを選定してキャッシュが残らないように設定したりとポリシーによる管理を行う。
多くの侵入者は、侵入後にまずActive Directoryへとアクセスし、高度な認証情報を得てからさまざまなデータを取得しようとする。そこでActive Directoryへのアクセスを阻害したり、偽の情報を渡して混乱させたりと資格情報を取得・使用できないようにするわけだ。もし、ダミーとなる“偽の情報”が使われれば「侵入されている」と検知でき、侵入者を効率的に暴き出すことができる。加えて、リモートデスクトップやファイルシェアなどアプリケーションからアプリケーションへの横移動(ラテラルムーブメント)をIN/OUTで検知することも可能だ。
そしてもう1つ、Active Directoryの脆弱性を調査した上で修復するという対策も有効と言えるだろう。センチネルワンの「Singularity Ranger AD」では、解析ダッシュボードで脆弱性や構成ミスの検知を行い、優先順位を付けて提示。それに基づいて設定の不備が見つかったら、用意されている修正スクリプトをダウンロードし、ADサーバーで実行するだけで修正可能だ。また、診断レポートでActive Directoryが「どのくらい攻撃されているのか」「何が問題なのか」を細かく閲覧し、対策に役立てられるという。
なお、ラテラルムーブメントに対しては、キャッシュされている情報を削除することで移動ができないように対策を打つ。仮に「シェアードアカウント」のように同一のID/パスワードで複数の端末やシステムに入れるようになっている場合には、修正するよう警告も出される。
こうしたラテラルムーブメントは、侵入者が水平移動先を見つけるために行う「ネットワーク偵察行動」を検知することで防ぐことも可能だ。たとえば、繰り返し何度もアクセスしようとしたり、普段使わない人がアクセスしたりといった異常を検知することができる。
また、そうした偵察行動やラテラルムーブメントを検知する「おとり機能」をActive Directoryに適用し、侵入者をあぶり出すことも可能だ。侵入者は、管理者など一部を除いて使われることのないPowerShellや攻撃ツールから情報を取得しようとするが、悪用を察知すると情報を遮断したり、偽の情報を流したりして対処。Active Directoryの情報を隠蔽して閲覧不可にする、得られた偽情報を悪用した瞬間にアラートが出るなどの対策で重要情報を守る。富田氏は「Active Directoryが攻撃を受ける前に、偽情報を与えて攻撃をさせない。または、権限の高い情報は渡さないという事前の防御策が取れる非常に効率的な方法」と評した。
ブラウザについても同様に、重要なCookieを隠し、偽の情報を含ませて悪用させることで検知するという手法がとれる。また、ブラウザが保存する資格情報ファイルは暗号化されてはいるものの時間をかければ解読できてしまう。だからこそ、ファイルへアクセスできないようにすることが重要だとも指摘する。
Active Directoryの内部から「Kerberos攻撃」なども検知
それでもActive Directoryに到達し、攻撃を受けることになってしまったらどうしたらいいのか。まずは、ドメイン管理者を含む任意のユーザーになりすます「ゴールデンチケット」、サーバーの管理者や利用者になりすます「シルバーチケット」などを用いて、高権限をもつ資格情報を取得する「Kerberos攻撃」への対策が欠かせない。とはいえ、リクエスト自体は正規なものと変わらず、エンドポイントからの検知は難しいだろう。そこで、センチネルワンの「Singularity Ranger AD Protect」では、Active Directoryの内部から攻撃を検知する。つまり、Active Directoryにエージェントを配置し、チケットの正当性や不正なAD情報などから攻撃を検知し、確実に防御するという。
ここまで紹介してきたようにRanger AD Protectでは、外部からActive Directoryのログを収集して脅威を検知する方法と、Active Directoryにエージェントを導入して内部から検知する方法で、エンドポイントを経由しない攻撃をサーバー側で検知することが可能だ。たとえば、前者では単一アカウントに対して多数のパスワードを試す「Password Spray」などへの対抗策として有効であり、後者は前述したような「シルバー&ゴールデンチケット」などの攻撃を検知するなど効果を発揮する。
最後に、富田氏は、「まずはエンドポイントで攻撃テクニックを細かくチェックし、AIなどを活用して自動的かつ効率的に検知していく。些細な攻撃の兆候を確認したら、大きな攻撃が発動する前に止めることが大切であり、EDR/XDRの活用が有効だ」と語り、「その上で侵入されることを想定し、対応しなければならない」と強調した。
そのためには、攻撃対象となるActive Directoryについて「Ranger AD」でアセスメントして防御力を強化し、さらに「Ranger AD Protect」で攻撃の検知・防御および、条件付きアクセスを実施していく。そして、エンドポイント側では「Singularity Identity」により偽物(デコイ)を用いた資格情報の保護や偵察行動の察知、ラテラルムーブメントパスの検知・修復などを実施する。
センチネルワンでは、セキュリティプラットフォーム「Singularity Platform」を有しており、脅威情報やログ情報を集めて分析する「Security DataLake」に集積された情報は、EPP/EDR/XDRやIdentityなどの各ソリューションでも共有・活用されている。興味のある方は問い合わせてみてはいかがだろうか。
