SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 秋の陣 レポート(AD)

社内にマルウェアが侵入、どう資格情報を守る? SentinelOneが考える“侵入後対策”を解説

NGAVやEPPだけでは不十分、巧妙化する脅威への対策法

Active Directoryへのアクセスを阻害し、資格情報を保護する

 「検知」が第一歩とはいえ、侵入者が正規の振る舞いをすることで検知そのものができないこともある。そこで「資格情報」を取得・悪用できないように保護することが必要だ。認証情報はキャッシュとして残ったものを悪用されることが多いことから、たとえば、センチネルワンの「Singularity Identity」では、認証情報を“攻撃者から見えない”ようにしたり、偽の情報を挿入したりすることで資格情報の窃取を阻止する。まずは保存されている情報を把握し、不要なものを自動的に削除したり、重要度が高いものを選定してキャッシュが残らないように設定したりとポリシーによる管理を行う。

SentinelOne シニアセールスエンジニア 富田隆一氏
SentinelOne Japan シニアセールスエンジニア 富田隆一氏

 多くの侵入者は、侵入後にまずActive Directoryへとアクセスし、高度な認証情報を得てからさまざまなデータを取得しようとする。そこでActive Directoryへのアクセスを阻害したり、偽の情報を渡して混乱させたりと資格情報を取得・使用できないようにするわけだ。もし、ダミーとなる“偽の情報”が使われれば「侵入されている」と検知でき、侵入者を効率的に暴き出すことができる。加えて、リモートデスクトップやファイルシェアなどアプリケーションからアプリケーションへの横移動(ラテラルムーブメント)をIN/OUTで検知することも可能だ。

[画像クリックで拡大]

 そしてもう1つ、Active Directoryの脆弱性を調査した上で修復するという対策も有効と言えるだろう。センチネルワンの「Singularity Ranger AD」では、解析ダッシュボードで脆弱性や構成ミスの検知を行い、優先順位を付けて提示。それに基づいて設定の不備が見つかったら、用意されている修正スクリプトをダウンロードし、ADサーバーで実行するだけで修正可能だ。また、診断レポートでActive Directoryが「どのくらい攻撃されているのか」「何が問題なのか」を細かく閲覧し、対策に役立てられるという。

[画像クリックで拡大]

 なお、ラテラルムーブメントに対しては、キャッシュされている情報を削除することで移動ができないように対策を打つ。仮に「シェアードアカウント」のように同一のID/パスワードで複数の端末やシステムに入れるようになっている場合には、修正するよう警告も出される。

[画像クリックで拡大]

 こうしたラテラルムーブメントは、侵入者が水平移動先を見つけるために行う「ネットワーク偵察行動」を検知することで防ぐことも可能だ。たとえば、繰り返し何度もアクセスしようとしたり、普段使わない人がアクセスしたりといった異常を検知することができる。

[画像クリックで拡大]

 また、そうした偵察行動やラテラルムーブメントを検知する「おとり機能」をActive Directoryに適用し、侵入者をあぶり出すことも可能だ。侵入者は、管理者など一部を除いて使われることのないPowerShellや攻撃ツールから情報を取得しようとするが、悪用を察知すると情報を遮断したり、偽の情報を流したりして対処。Active Directoryの情報を隠蔽して閲覧不可にする、得られた偽情報を悪用した瞬間にアラートが出るなどの対策で重要情報を守る。富田氏は「Active Directoryが攻撃を受ける前に、偽情報を与えて攻撃をさせない。または、権限の高い情報は渡さないという事前の防御策が取れる非常に効率的な方法」と評した。

[画像クリックで拡大]

 ブラウザについても同様に、重要なCookieを隠し、偽の情報を含ませて悪用させることで検知するという手法がとれる。また、ブラウザが保存する資格情報ファイルは暗号化されてはいるものの時間をかければ解読できてしまう。だからこそ、ファイルへアクセスできないようにすることが重要だとも指摘する。

[画像クリックで拡大]

Active Directoryの内部から「Kerberos攻撃」なども検知

 それでもActive Directoryに到達し、攻撃を受けることになってしまったらどうしたらいいのか。まずは、ドメイン管理者を含む任意のユーザーになりすます「ゴールデンチケット」、サーバーの管理者や利用者になりすます「シルバーチケット」などを用いて、高権限をもつ資格情報を取得する「Kerberos攻撃」への対策が欠かせない。とはいえ、リクエスト自体は正規なものと変わらず、エンドポイントからの検知は難しいだろう。そこで、センチネルワンの「Singularity Ranger AD Protect」では、Active Directoryの内部から攻撃を検知する。つまり、Active Directoryにエージェントを配置し、チケットの正当性や不正なAD情報などから攻撃を検知し、確実に防御するという。

[画像クリックで拡大]

 ここまで紹介してきたようにRanger AD Protectでは、外部からActive Directoryのログを収集して脅威を検知する方法と、Active Directoryにエージェントを導入して内部から検知する方法で、エンドポイントを経由しない攻撃をサーバー側で検知することが可能だ。たとえば、前者では単一アカウントに対して多数のパスワードを試す「Password Spray」などへの対抗策として有効であり、後者は前述したような「シルバー&ゴールデンチケット」などの攻撃を検知するなど効果を発揮する。

[画像クリックで拡大]

 最後に、富田氏は、「まずはエンドポイントで攻撃テクニックを細かくチェックし、AIなどを活用して自動的かつ効率的に検知していく。些細な攻撃の兆候を確認したら、大きな攻撃が発動する前に止めることが大切であり、EDR/XDRの活用が有効だ」と語り、「その上で侵入されることを想定し、対応しなければならない」と強調した。

 そのためには、攻撃対象となるActive Directoryについて「Ranger AD」でアセスメントして防御力を強化し、さらに「Ranger AD Protect」で攻撃の検知・防御および、条件付きアクセスを実施していく。そして、エンドポイント側では「Singularity Identity」により偽物(デコイ)を用いた資格情報の保護や偵察行動の察知、ラテラルムーブメントパスの検知・修復などを実施する。

[画像クリックで拡大]

 センチネルワンでは、セキュリティプラットフォーム「Singularity Platform」を有しており、脅威情報やログ情報を集めて分析する「Security DataLake」に集積された情報は、EPP/EDR/XDRやIdentityなどの各ソリューションでも共有・活用されている。興味のある方は問い合わせてみてはいかがだろうか。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:SentinelOne Japan株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18562 2023/10/26 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング