Active Directory 勉強会 第 6 回目 Active Directory セキュリティについて学ぶ回

Transcript

1. Active Directory 勉強会 第 6 回目 Active Directory セキュリティについて学ぶ回 Yurika

   Kakiuchi Risk Manager Customer Protection

2. セッション概要  目的  Active Directory 環境に対する攻撃、およびマイクロソフトが推奨する保護策への 理解を深め、Active Directory の保護に役立てる

    目次 1. AD への脅威と保護 概要 2. 主な確認ポイント : 認証情報の保護 2 © Copyright Microsoft Corporation. All rights reserved.

3. Active Directory とは © Copyright Microsoft Corporation. All rights reserved.

   3

4. Active Directory (Active Directory Domain Services) • Windows Server に含まれる機能の一つ

    オンプレミス環境におけるユーザー、コンピューター、サービスなどの リソースを管理するための機能 主な機能 リソースの登録、管理、検索 (ディレクトリ ) 認証 (Kerberos認証, NTLM 認証) オンプレミス システムとの連携 Windows デバイスの構成管理 (グループ ポリシー)

5. Microsoft Entra ID  クラウドベースの ID およびアクセス管理サービス (ID as a

   Service, IdP) 主な機能 クラウドベースの ID 管理 クラウドサービスとの連携 クラウドでの認証/認可 ID の保護 デバイスの管理は別のサービスを 利用することが想定されている (例: Microsoft Intune)

6. なぜ ・どのように Active Directory は狙われるのか © Copyright Microsoft Corporation. All

   rights reserved. 6

7. Active Directory が標的にされる理由 • 企業・組織に対する侵害の一環として、Active Directory が標的と なる • Active

   Directory を制御することで、悪意ある者は AD 内のシステム やユーザーへの特権的なアクセスを得ることができる • 電子メール、ファイルサーバー、重要なビジネスアプリケーションなどのシステムに自由にアクセ スすることが可能 • Active Directory の攻撃面は多岐にわたり、防御が難しい • 互換性を踏まえて設計されている既定の構成値や複雑な関係、権限、古いプロトコル などを起因とした、“攻撃に利用される構成” が見つかりやすい © Copyright Microsoft Corporation. All rights reserved. 7

8. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

   reserved. 8 初期侵入 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入

9. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

   reserved. 9 初期侵入 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 初期侵入した端末やアカウントから、侵入を広げる ための手がかりを得る • 端末に記憶されている認証に必要な情報をコ ピーする • 組織内で一斉に展開されているサービスやAD の 構成情報を検索・取得する

10. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 10 初期侵入 組織内の横断 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格)

11. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 11 初期侵入 組織内の横断 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 同じ構成を利用している別の端末に侵入 ・管理簡素化のために同一アカウントを展開 ・よく知られた既定アカウント

12. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 12 初期侵入 組織内の横断 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格) リモートでログインしたアカウントへ侵入 • ヘルプデスク業務のためリモートで接続 • サーバーを管理する端末と業務端末が同一

13. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 13 初期侵入 組織内の横断 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 弱いパスワードが設定されている サービスアカウントを利用して特権 を得る

14. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 14 初期侵入 組織内の横断 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 別のサーバー・サービスへ侵入 • 安全ではない委任の構成 • サーバーの管理端末が同一 • おなじ権限で複数のサー バー・サービスを管理できる

15. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 15 ドメイン管理権限を取得 • サーバー/サーバー管理者が ドメイン管理者権限を保持 • グループポリシーやグループの アクセス管理不備 初期侵入 組織内の横断 ドメイン掌握 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) • ドメイン管理者権限の取得 • ドメインの鍵を取得

16. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 16 初期侵入 組織内の横断 ドメイン掌握 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格) • ドメイン管理者権限の取得 • ドメインの鍵を取得

17. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 17 初期侵入 組織内の横断 ドメイン掌握 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 • 別の端末の侵害 • 高い権限の取得 (特権昇格) • ドメイン管理者権限の取得 • ドメインの鍵を取得 攻撃者は、AD 内の正規のユーザーやサービスを利用して、 AD 環境を動き回る

18. Active Directory 環境への攻撃の特徴  正規に認証されたユーザーで実行されている  正規に許可されている権限で実行されている  標準実装のコマンドが利用されている 

    “Living off the land” と呼ばれる手法  Windows コマンド: Tasklist, ver, whoami, net user, net group, klist 等  Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行  AD 標準ツール・コマンド  ADユーザー権限でLDAPクエリを通常の権限・設定で投げ、情報を収集: 所属しているグループ、アクセス権限、SPN 設定など  インターナルフィッシング: UPN メールアドレス、電話番号  Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行 © Copyright Microsoft Corporation. All rights reserved. 18

19. Active Directory の保護：よくある誤解 © Copyright Microsoft Corporation. All rights reserved.

    19 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック

20. ログイン失敗・アクセス失敗 は残らない ウイルス検出では 検出されない Active Directory の保護：よくある誤解 © Copyright Microsoft

    Corporation. All rights reserved. 20 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック 内部のアクセスのできる場所から、 DCにたどり着く

21. ログイン失敗・アクセス失敗 は残らない ウイルス検出では 検出されない Active Directory の保護：よくある誤解 © Copyright Microsoft

    Corporation. All rights reserved. 21 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック 内部のアクセスのできる場所から、 DCにたどり着く これだけで、AD を保護することは困難

22. Active Directory 保護 [長期的な視点で] AD 保護の目指すべき方向性

23. Active Directory 保護のベストプラクティス Active Directory のセキュリティ保護に関するベスト プラクティス (Microsoft Learn) 更新された

    Active Directory 保護のベストプラクティス  ハイブリッド環境前提で多層防御と侵入を前提としたモニタリングなどを推奨  ドメインコントローラは、インターネット接続の完全禁止を撤廃  フィルタなしやブラウザでのインターネット接続は引き続き非推奨だが、 例えば Defender for Identity で の ID 保護など、クラウドベースの保護技術、XDR 活用で、オンプレミス環境の保護を推奨

24. Active Directory の保護  Active Directory への攻撃面を減らす  最低限の特権の管理モデルを実装する 

    セキュリティ保護された管理ホストを使用する  ドメイン コントローラーをセキュリティで保護する  侵害につながるパスを理解し、安全な構成にする  侵害の兆候をモニタリングする  侵害が発生した場合の対応プランを計画する  安全な構成を維持する体制を整える © Copyright Microsoft Corporation. All rights reserved. 24

25. エンタープライズ アクセス モデル ハイブリッド環境を前提とした新しいアクセス管理モデル オンプレミス環境を前提とした「Active Directory 管理階層モデル」 を置き換える © Copyright

    Microsoft Corporation. All rights reserved. 25 特権アクセスのセキュリティ保護: エンタープライズ アクセス モデル | Microsoft Learn

26. Active Directory の保護において重要な考え Active Directory のオブジェクト、権限、グループポリシーなどの構成と、 それぞれの関係性を把握し、重要度や構成不備を理解する © Copyright Microsoft

    Corporation. All rights reserved. 26

27. Active Directory の保護において重要な考え Active Directory のオブジェクト、権限、グループポリシーなどの構成と、 それぞれの関係性を把握し、重要度や構成不備を理解する © Copyright Microsoft

    Corporation. All rights reserved. 27 点やリストではなく、 グラフで把握する

28. © Copyright Microsoft Corporation. All rights reserved. 28 特権資格情報が どこに残されているか

    を視覚化し、 攻撃パスを理解する

29. Active Directory 列挙ツールの活用  Active Directory 列挙ツールを活用することで、網羅的に効率よく 重要度や構成不備を把握することができる  Microsoft

    Defender for Identity  マイクロソフト インシデント レスポンス カスタムツール (マイクロソフト 有償サービス)  オープンソースのツール (BlodHound, PingCastle など) © Copyright Microsoft Corporation. All rights reserved. 29

30. まずは、確認しておきたい Active Directory への攻撃面 © Copyright Microsoft Corporation. All rights

    reserved. 30 [短期的な視点で] AD 保護でやっておくべき事項

31. Active Directory の保護  Active Directory への攻撃面を減らす  最低限の特権の管理モデルを実装する 

    セキュリティ保護された管理ホストを使用する  ドメイン コントローラーをセキュリティで保護する  侵害につながるパスを理解し、安全な構成にする  侵害の兆候をモニタリングする  侵害が発生した場合の対応プランを計画する  安全な構成を維持する体制を整える © Copyright Microsoft Corporation. All rights reserved. 31

32. まずは、確認しておきたい Active Directory への攻撃面  同一パスワードを利用しているローカル管理者アカウント  脆弱なサービスアカウント  脆弱な認証構成・暗号方式の利用

    (Kerberos/NTLM)  保存される認証情報の保護強度の不足  安全でない委任構成  過剰な特権をもつアカウント  グループ/オブジェクト/グループポリシーに対する ACL 保護不足  LDAP 保護 (LDAPS, 署名, チャネルバインディング ADV190023)  名前解決プロトコルの悪用 (LLMNR/NBT-NS)  DC レプリケーション機能の保護不足  ADCS 保護不足 などなど…… © Copyright Microsoft Corporation. All rights reserved. 32

33. まずは、確認しておきたい Active Directory への攻撃面  同一パスワードを利用しているローカル管理者アカウント  脆弱なサービスアカウント  脆弱な認証構成・暗号方式の利用

    (Kerberos/NTLM)  保存される認証情報の保護強度の不足  安全でない委任構成  過剰な特権をもつアカウント  グループ/オブジェクト/グループポリシーに対する ACL 保護不足  LDAP 保護 (LDAPS, 署名, チャネルバインディング ADV190023)  名前解決プロトコルの悪用 (LLMNR/NBT-NS)  DC レプリケーション機能の保護不足  ADCS 保護不足 などなど…… © Copyright Microsoft Corporation. All rights reserved. 33 今日はこのあたり

34. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 34 初期侵入 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入

35. 代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights

    reserved. 35 初期侵入 • 脆弱なパスワードや脆弱性の悪用によ るネットワーク機器/サーバーへの侵入 • フィッシング、ソーシャルエンジニアリング によるユーザーアカウント・端末への侵 入 初期侵入した端末やアカウントから、侵入を広げる ための手がかりを得る • 端末に記憶されている認証に必要な情報をコ ピーする • 組織内で一斉に展開されているサービスやAD の 構成情報を検索・取得する

36. デバイスには、ログインするユーザーの認証情報が保存されている 36 © Copyright Microsoft Corporation. All rights reserved. ユーザー

    ユーザー名：UserA パスワード：Passw@rd ローカルユーザー ユーザー名：Local パスワード：12345 パスワード ハッシュ 管理者権限等必要な特権を持っていない場合は、 特権昇格を併用する パスワード ハッシュ 認証チケット (TGT) サービスチケット （ST) デバイス LT 鍵 セッション鍵 サービス セッション鍵 ユーザー ユーザー名：remote パスワード：password 認証チケット (TGT) セッション鍵 パスワード ハッシュ LT 鍵 パスワードハッシュ パスワードハッシュ パスワードハッシュ krbtgt UserA SV1 ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 パスワードハッシュ 取得した認証情報を利用し 他の端末やサーバーへアクセス

37. 取得した資格情報を攻撃に利用するには 1. 派生資格情報を再利用する  もともとのパスワードや鍵を取得していない状態で攻撃が可能  攻撃手法の例  Pass-the-Hash 攻撃:

    NTLM 認証において NTOWF を再利用する  Pass-the-Ticket 攻撃 : Kerberos 認証においてチケット、キーを再利用・偽造する 2. 解析し、パスワードを利用する  レインボーテーブルによる解析  危殆化した暗号・ハッシュアルゴリズムの既知の問題を用いた解析 37 © Copyright Microsoft Corporation. All rights reserved.

38. NTLM 認証のハッシュを再利用した攻撃手法 © Copyright Microsoft Corporation. All rights reserved. 38

    ユーザー ユーザー名：UserA パスワード：Passw@rd デバイス ローカルユーザー ユーザー名：Local パスワード：12345 パスワード ハッシュ ユーザー ユーザー名：UserB パスワード：Passw@rd2 デバイス ローカルユーザー ユーザー名：Local パスワード：12345 パスワード ハッシュ パスワード ハッシュ 認証チケット (TGT) サービスチケット （ST) セッション鍵 サービス セッション鍵 取得した認証情報を利用し 他の端末やサーバーへアクセス

39. LAPS（Local Administrator Password Solution）  Windows環境においてローカル管理者アカウントのパスワードを自動 的に管理・定期的にローテーションすることで、セキュリティを強化する 機能  Active

    Directory & Entra IDと統合  LAPSはオンプレADおよびMicrosoft Entra ID (旧Azure AD) の双方に対応。ADではコン ピュータオブジェクト属性にパスワードを保存しACLで保護。Entra IDではクラウド上デバイス オブジェクトに保存しAzure RBACで管理。  Intuneポリシーによる一元管理  IntuneのエンドポイントセキュリティポリシーでLAPS設定を集中管理可能。パスワード要件 やローテーション頻度、バックアップ先を設定し、パスワード取得や手動ローテーションもポータ ルから実行可能。 © Copyright Microsoft Corporation. All rights reserved. 39

40. Kerberos 認証の認証情報を再利用した攻撃手法 40 © Copyright Microsoft Corporation. All rights reserved.

    ユーザー ユーザー名：UserA パスワード：Passw@rd ローカルユーザー ユーザー名：Local パスワード：12345 パスワード ハッシュ パスワード ハッシュ 認証チケット (TGT) サービスチケット （ST) デバイス LT 鍵 セッション鍵 サービス セッション鍵 ユーザー ユーザー名：remote パスワード：password 認証チケット (TGT) セッション鍵 パスワード ハッシュ LT 鍵 パスワードハッシュ パスワードハッシュ パスワードハッシュ krbtgt UserA SV1 ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 パスワードハッシュ 取得した認証情報を利用し 他の端末やサーバーへアクセス

41. Kerberos 認証の認証情報を再利用した攻撃手法  標的端末の LSASS メモリからチケットや鍵を抽出して利用することで、 認証する  主な攻撃手法 

    Pass-the-Ticket (PtT): 有効なKerberosチケット（TGT/TGS）と鍵を盗み、再利用して 認証する  Overpass-the-Hash: NTLMハッシュからKerberos TGTを生成し、PtTと同様に再利用  Silver Ticket: サービスアカウントの鍵で偽造したサービスチケットを使用  Golden Ticket: KRBTGTアカウントの鍵で偽造したTGTを使用し、任意のユーザーになりす まし可能 © Copyright Microsoft Corporation. All rights reserved. 41

42. Active Directory Kerberos 認証のおさらい © Copyright Microsoft Corporation. All rights

    reserved. 42

43. Kerberos 認証① 鍵 © Copyright Microsoft Corporation. All rights reserved.

    43 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 パスワードハッシュ

44. Kerberos 認証② 認証リクエスト (KRB_AS_REQ) © Copyright Microsoft Corporation. All rights

    reserved. 44 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証リクエスト (KRB_AS_REQ) タイムスタンプ ユーザー名, SPN krbtgt,User Nonce パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー SPN1 事前認証情報 (Pre-Auth Info.) LT 鍵 LT 鍵 LT 鍵 LT 鍵 パスワードハッシュ

45. Kerberos 認証③ 認証リクエスト (KRB_AS_REP) © Copyright Microsoft Corporation. All rights

    reserved. 45 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ 認証チケット (TGT) パスワードハッシュ 認証チケット (TGT) 認証リクエスト (KRB_AS_REQ) タイムスタンプ ユーザー名, SPN krbtgt,User Nonce 認証レスポンス (KRB_AS_REP) ユーザー名 セッション鍵, TGT有効期限、User Nonce パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー SPN1 事前認証情報 (Pre-Auth Info.) LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 パスワードハッシュ

46. Kerberos 認証④ 認証リクエスト (KRB_TGS_REQ) © Copyright Microsoft Corporation. All rights

    reserved. 46 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証チケット (TGT) パスワードハッシュ krbtgt UserA SV1 認証リクエスト (KRB_TGS_REQ) ユーザー名、タイムスタンプ 認証チケット (TGT) SPN, User Nonce デバイス ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 パスワードハッシュ

47. Kerberos 認証⑤ 認証リクエスト (KRB_TGS_REP) © Copyright Microsoft Corporation. All rights

    reserved. 47 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) パスワードハッシュ krbtgt UserA SV1 認証リクエスト (KRB_TGS_REQ) 認証レスポンス (KRB_TGS_REP) ユーザー名 ユーザー名、タイムスタンプ 認証チケット (TGT) SPN, User Nonce サービスセッション鍵、 TGS有効期限、User Nonce サービスチケット (ST) デバイス ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ

48. Kerberos 認証⑥ 認証リクエスト (KRB_AP_REQ) © Copyright Microsoft Corporation. All rights

    reserved. 48 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー 認証リクエスト (KRB_AP_REQ) ユーザー名、タイムスタンプ サービスチケット (ST) SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ

49. Kerberos 認証⑦ 認証リクエスト (KRB_AP_REP) © Copyright Microsoft Corporation. All rights

    reserved. 49 ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー 認証リクエスト (KRB_AP_REQ) ユーザー名、タイムスタンプ サービスチケット (ST) 認証レスポンス (KRB_AP_REP ) SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ

50. Kerberos 認証：まとめ © Copyright Microsoft Corporation. All rights reserved. 50

    ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ 認証チケット (TGT) パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) 認証リクエスト (KRB_AS_REQ) タイムスタンプ ユーザー名, SPN krbtgt,User Nonce 認証レスポンス (KRB_AS_REP) ユーザー名 セッション鍵, TGT有効期限、User Nonce パスワードハッシュ krbtgt UserA SV1 認証リクエスト (KRB_TGS_REQ) 認証レスポンス (KRB_TGS_REP) ユーザー名 ユーザー名、タイムスタンプ 認証チケット (TGT) SPN, User Nonce サービスセッション鍵、 TGS有効期限、User Nonce サービスチケット (ST) デバイス ドメイン コントローラー SV1 サーバー 認証リクエスト (KRB_AP_REQ) ユーザー名、タイムスタンプ サービスチケット (ST) 認証レスポンス (KRB_AP_REP ) SPN1 事前認証情報 (Pre-Auth Info.) LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ

51. Kerberos 認証のチケットを再利用した攻撃手法 51 © Copyright Microsoft Corporation. All rights reserved.

    ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) パスワードハッシュ krbtgt UserA SV1 デバイス ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ ユーザー ユーザー名：remote パスワード：password 認証チケット (TGT) セッション鍵 パスワード ハッシュ LT 鍵

52. Kerberos 認証のチケットを再利用した攻撃手法 © Copyright Microsoft Corporation. All rights reserved. 52

    パスワードハッシュ パスワードハッシュ パスワードハッシュ krbtgt UserA SV1 認証リクエスト (KRB_TGS_REQ) 認証レスポンス (KRB_TGS_REP) ユーザー名 ユーザー名、タイムスタンプ 認証チケット (TGT) SPN, User Nonce サービスセッション鍵、 TGS有効期限、User Nonce サービスチケット (ST) ドメイン コントローラー SV1 サーバー SPN1 LT 鍵 LT 鍵 LT 鍵 パスワードハッシュ ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ 認証チケット (TGT) サービスチケット （ST) デバイス LT 鍵 セッション鍵 サービス セッション鍵 認証チケット (TGT) セッション鍵 パスワード ハッシュ LT 鍵

53. 資格情報の保護  LSASS プロセスを保護する  LSA 保護モードの有効化: LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格 情報の窃盗を防ぐ

    (レジストリで有効化）  保存資格情報を減らす  平文パスワードを保存しない: LSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぐ  LM ハッシュを保存しない: LM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らす  ログオフ後の資格情報消去: ユーザーのログオフ後に LSASS メモリから消去する  NTLMプロトコルを無効にする: NTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぐ  ARSO 無効化: Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持をしない  RDP 接続の資格情報を保護する  Restricted Adminモード  RDP 接続先に一切のユーザ資格情報を渡さない。リモート側ではユーザ資格情報なしで「マシンアカウント権限」としてセッションが開始される。  接続ユーザが予めリモート先の管理者権限を持つ場合のみ利用可能。リモートからさらに他のサービスへアクセス（ダブルホップ）はできない。  Remote Credential Guard  Restricted Adminを改良したモード  ユーザの平文資格情報を送らずにKerberosチケット(TGT) を利用してリモートログオンを実現  リモート側にはTGT本体など最低限の情報のみが届き、セッション鍵などは共有されない。サービスアクセス時にはリモート側がクライアントに暗号処理を オフロードしてチケットを取得  SSO が可能 © Copyright Microsoft Corporation. All rights reserved. 53 環境要件・利便性を 踏まえて導入を検討

54. Virtualization-based security (VBS) © Copyright Microsoft Corporation. All rights reserved.

    54  Windows 10+ の多くのセキュリティ機能の基礎  Hypervisor, SLAT, IOMMUをベースとした仮想化による保護技術 カーネル モード Hypervisor Kernel Mode CI Credential Guard Critical System Processes セキュア カーネル ユーザー モード Hardware Ring 0 Ring -1 Critical System Processes Secure Mode (VTL1) Normal Mode (VTL0)

55. クレデンシャルガード © Copyright Microsoft Corporation. All rights reserved. 55 

    VBS を利用した認証情 報の保護  “pass-the-hash” “mimikatz” などの資格 情報を奪う攻撃への対 策 カーネル モード Hypervisor セキュア カーネル ユーザー モード Hardware Secure Mode (VTL1) Normal Mode (VTL0) LSASS LSAIso Hello Container Credential Guard Key Guard TPM MSA Secrets AAD Secrets VBS Key Bio blob Kerbero s secrets NTLM secrets Saved Domain creds keys credentials

56. 取得した資格情報を攻撃に利用するには 1. 派生資格情報を再利用する  もともとのパスワードや鍵を取得していない状態で攻撃が可能  攻撃手法の例  Pass-the-Hash 攻撃:

    NTLM 認証において NTOWF を再利用する  Pass-the-Ticket 攻撃 : Kerberos 認証においてチケット、キーを再利用・偽造する 2. 解析し、パスワードを利用する  レインボーテーブルによる解析  危殆化した暗号・ハッシュアルゴリズムの既知の問題を用いた解析 56 © Copyright Microsoft Corporation. All rights reserved.

57. Kerberos チケットのオフライン解析によるパスワード抽出 © Copyright Microsoft Corporation. All rights reserved. 57

    ユーザー ユーザー名：UserA パスワード：Passw@rd パスワード ハッシュ パスワードハッシュ 認証チケット (TGT) パスワードハッシュ 認証チケット (TGT) サービスチケット （ST) 認証リクエスト (KRB_AS_REQ) タイムスタンプ ユーザー名, SPN krbtgt,User Nonce 認証レスポンス (KRB_AS_REP) ユーザー名 セッション鍵, TGT有効期限、User Nonce パスワードハッシュ krbtgt UserA SV1 認証リクエスト (KRB_TGS_REQ) 認証レスポンス (KRB_TGS_REP) ユーザー名 ユーザー名、タイムスタンプ 認証チケット (TGT) SPN, User Nonce サービスセッション鍵、 TGS有効期限、User Nonce サービスチケット (ST) デバイス ドメイン コントローラー SV1 サーバー 認証リクエスト (KRB_AP_REQ) ユーザー名、タイムスタンプ サービスチケット (ST) 認証レスポンス (KRB_AP_REP ) SPN1 事前認証情報 (Pre-Auth Info.) LT 鍵 LT 鍵 LT 鍵 LT 鍵 セッション鍵 サービス セッション鍵 パスワードハッシュ チケットをオフラインで解析し パスワードを割り出す

58. なぜ解析できるのか？  脆弱なパスワードを使用している  よく知られたパスワードや短いパスワード等は、解析にかかるコストが低い  RC4 (脆弱な暗号化アルゴリズム) を使用している 

    RC4 は、パスワードを暗号化キーに変換する際にソルトや反復ハッシュを使用しない  AD は既定では、RC4 を使用しませんが*、RC4 は現在デフォルトで有効になっているため、 サイバー脅威の攻撃者は RC4 を使用して暗号化されたチケットを要求 © Copyright Microsoft Corporation. All rights reserved. 58

59. 主な標的と攻撃手法  サービスアカウント（SPN を持つアカウント）  「Kerberoasting 攻撃」 と呼ばれる攻撃手法  SQL

    Server や Webサービスなどのサービスプリンシパル名 (SPN) を持つアカウントを標的とする  Kerberos認証でそのサービスに対するチケット譲渡チケット (TGS) を要求  サービスチケットを取得してパスワードをオフラインで解析する  Kerberos の事前認証を無効に設定されたユーザーアカウント  AS-REP Roasting（プリ認証無効アカウントのTGTハッシュ抽出）  古いサービスアカウントや一部管理用アカウントなど、Kerberos の事前認証を無効に設定されたアカ ウントを標的とする。  Ticket Granting Ticket (TGT) を取得してパスワードをオフラインで解析する  KerberosではユーザーがKDCに認証要求(AS-REQ)を送る際にパスワードで暗号化したタイムスタンプ を添えて事前認証する。ただし、「このアカウントはKerberos事前認証を必要としない」 オプションが有 効な場合、KDCは事前認証なしでTGTを発行する © Copyright Microsoft Corporation. All rights reserved. 59

60. 攻撃の検出の難しさ  正規の認証フロー内で行われるため、「異常」は発生しない  ネットワーク上の異常やログイン失敗によるアラートも発生しません  マルウェアを使用せず合法的なツール（例：RubeusやImpacket）でチケット取得・解析 が可能  任意の認証済みユーザーから攻撃可能

     攻撃者はドメイン参加ユーザー権限さえ得れば、サービスアカウントに紐づくチケットを次々 取得して解析可能  Active Directoryでは既定でサービスチケット要求時にユーザーのサービスアクセス権を検証しないため （SPNさえ分かれば要求可能）  オフラインでのパスワード解読によりロックアウト等を回避 © Copyright Microsoft Corporation. All rights reserved. 60

61. Active Directory での対策 (Kerberoasting) 2024 年 10 月 ガイダンスを公開 Microsoft's

    guidance to help mitigate Kerberoasting  現在 Kerberos 認証の暗号方式を AES に既定化を進めており、将来的に RC4 を無効化 する予定  主なタイムライン  2022 年 11 月の月例セキュリティ更新適用以降: AESが既定の暗号化方式に (CVE-2022-37966 / KB5021131 )  DefaultDomainSupportedEncTypes の新設 : デフォルト値は0x27 (DES・RC4を許可し、AESはセッション鍵として使 用可能)  アカウントが特定の暗号化方式を明示指定していない場合= msDS-SupportedEncryptionTypes属性が空または未 設定の場合）は、Kerberos認証では、 AES が利用される (ただし、RC4による認証も可能)  2025年9月更新: DES暗号のKerberosサポート削除。Windows Server 2025 / Windows 11 24H2では DES使用不可  2026年第1四半期から、Windows 11 24H2 /Windows Server 2025を新規にインストールした場合はデフォ ルトで RC4 を無効 © Copyright Microsoft Corporation. All rights reserved. 61

62. 脆弱なサービスアカウントを狙う攻撃を軽減するために (Kerberoasting 攻撃)  サービスアカウントのパスワードを強固にする  サービスアカウントは、可能な限り、グループ管理サービス アカウント (gMSA) または委任管理サービス

    アカウ ント (dMSA) を使用する  SPN が付与されたアカウントの棚卸しをする  SPN付きアカウントがないか棚卸し、不要なものは無効化・削除  ユーザーアカウント (特に管理者権限を持つユーザー) への SPN 付与をやめる  古い暗号方式の無効化 (RC4の排除)  互換性のために旧式のRC4-HMAC暗号がサポートされている。RC4で暗号化されたTGSはNTLMハッシュを 直接含むため解析が容易  Kerberos 認証では、RC4 を無効化し、AES のみが利用されるように構成する © Copyright Microsoft Corporation. All rights reserved. 62 サービスアカウント = SPN が付与されたアカウン

63. マネージドサービスアカウント (Managed Service Account)  自動的にパスワードを管理・更新し、サービスやアプリケーションの安全な実行を支援するドメインアカウント  自動パスワード管理（既定では 30日ごとのローテーション） 

    原則としてインタラクティブログオン不可  グループ管理サービス アカウント (gMSA) (Group Managed Service Account)  複数のコンピューター間で共有できるグループ管理サービスアカウント。  ドメイン要件：Windows Server 2012 以上。Windows Server 2012以上のドメイン機能レベル以上。ドメイン内にKDSルートキーを作成しておく必要があり  利用側要件：Windows Server 2012 / Windows 8以降  サーバー複数台（サーバーファームやNLB環境など）で同一のアカウントを使用可能  例：Webサーバー群のアプリプール、ロードバランスされたSQL可用性グループ、複数ホストにまたがるスケジュールタスクなど。※Windowsフェイルオーバークラスター自体はgMSAを直接 サポートしませんが、クラスタ上で動作するサービス（役割）にはgMSA/sMSAを使用可能  主要なMicrosoft製品（SQL Server、IIS、Exchange Server、AD LDSなど）はgMSAに対応済み。それ以外のアプリケーションでは個別に対応状況を確認する必要あり  アカウント管理方法: Active Directory上にオブジェクト（クラス msDS-GroupManagedServiceAccount）として作成し、利用を許可するコンピューターの一覧 or セキュリティグルー プを属性に登録して管理  委任管理サービス アカウント (dMSA) (Dedicated/Standalone Managed Service Account)  単一のコンピューター上でサービスを実行するための個別管理サービスアカウント  ドメイン要件：Windows Server 2008 R2 以上。スキーマ/ドメイン機能レベル: Windows Server 2008 R2以上。ドメイン内にActive Directory Webサービス（ADWS）が稼働し ていること  利用側要件：アカウントを設定・使用する側のホストOSはWindows Server 2008 R2 / Windows 7以降  1台の特定のサーバーにのみリンク  例：単一サーバー構成のアプリケーションサービス、スタンドアロンのIIS/SQLインスタンスなど。クラスタ環境では使用不可  アカウント管理方法: Active Directory上にオブジェクト（クラス msDS-ManagedServiceAccount）として作成し、特定のコンピューターアカウントに紐付けて管理 © Copyright Microsoft Corporation. All rights reserved. 63

64. Active Directory Kerberos 認証でのRC 4 無効化対応ステップ ① AD 環境全体が Kerberos

    認証 AES に対応可能か確認する ❑すべてのドメインコントローラー /ドメイン機能レベルがWindows Server 2008以降  Windows Server 2003以前のDCはAESをサポートしないため、存在する場合は撤去またはアップグレードが必須 ❑すべてのドメイン クライアント OS・サーバー OS が AES 対応  Windows Vista/7以降, Windows Server 2008 以降  Linux, NASデバイス・プリンター等でドメインに参加しておりRC4暗号のみを用いるものが無いか洗い出し ❑すべてのアカウントが AES 鍵を保持している  Active Directory内のユーザーおよびコンピュータアカウントがAES鍵を持っているかを確認。  アカウントの msDS-SupportedEncryptionTypes 属性を調査する  ドメインコントローラーのイベントログで、Kerberos認証に関するイベントID 16や27（KDCの暗号化キー不足エラー）や、4768/4769のチケット暗号種別を監視する  RC4 を利用するサービスアカウント (SPN が設定されているアカウント) や、パスワード変更されていないアカウントでは、AES鍵が生成されていない場合がある ❑[信頼関係が存在する場合] 相手側ドメインもAESをサポートしている  2022 年 11 月以降の月例更新プログラム適用環境では、クロスドメインの Kerberos で自動的に AES が利用される  Windows Server 2008未満のドメインとの信頼や、MIT Kerberosとの信頼ではRC4のみを使用している可能性がある  信頼オブジェクトのプロパティで利用されている暗号方式を確認する © Copyright Microsoft Corporation. All rights reserved. 64

65. RC4 依存のサービスを確認する方法  DC に記録されるイベントログから利用されている暗号方式を確認  Windows Server 2016 以降の

    OS + 2025 年 1 月の月例更新適用  イベント 4768 (TGT 発行リクエスト) Ticket Encryption Type フィールドを確認する。  注意: Keytab を利用するデバイスの場合、TGT をリクエストしないのでイベント 4768 は記録されない  イベント 4769 の暗号タイプを確認する  Ticket Encryption Typeフィールド: 0x12=AES128、0x13=AES256、RC4 = 0x17  認証エラー  ドメインコントローラーのシステムログ上のKerberos-KDCイベント (ID 16, 27) © Copyright Microsoft Corporation. All rights reserved. 65

66. よくある互換問題シナリオ (Kerberos認証の RC4 無効化)  Keytab ファイルで利用可能な資格情報がRC4（NTLMハッシュ）のみであるデバイス  Keytab: Kerberos認証で使用される暗号化された鍵情報を格納するファイル。パスワード入力なしで自動認証を可能に

    する。AD 環境内の Linux/UNIXサービスや、スクリプト等の自動化で利用されている場合がある。  新しい Keytab ファイルを作成する必要がある  ドメインに統合されている非Windowsデバイス  例：NASアプライアンス、Linux 等  AES は利用可能であるが、既定で RC4 を使用している場合がある。  該当デバイスは、製品/OS ベンダーに確認する必要がある  AES が GPO またはレジストリ設定で無効化されている Windows デバイス  既定では、Windows Server 2008 以降のデバイスは RC4 と AES をサポート  Windows で AESを無効化することは推奨されるシナリオはない  AES をサポートしていないレガシーWindowsデバイス  Windows Server 2003 / Windows XP 以前 © Copyright Microsoft Corporation. All rights reserved. 66

67. Active Directory Kerberos 認証でのRC 4 無効化対応ステップ ② Kerberos 認証を AES

    のみに設定する (1) ❑ グループポリシー 「ネットワーク セキュリティ: Kerberosで許可する暗号化の種類を構成する」 ポリシーを適用する  設定値: AES128_HMAC_SHA1 および AES256_HMAC_SHA1 のみを選択し、それ以外（RC4_HMAC_MD5や DES_CBC_MD5/CRCなど）は選択解除  必要に応じ「将来の暗号化タイプ」も選択しておくと、将来新しい暗号方式が追加された際も自動的に許可される  グループポリシーは、すべてのドメイン コントローラーとクライアントに適用する ❑ ユーザー・コンピュータアカウントの msDS-SupportedEncryptionTypes 属性を設定する ❑ 設定値: 0x18 (bit 値で24: AES128 + AES256) を指定 ❑ 既定ではユーザーアカウントはこの属性が空白(null) ❑ 特にサービスアカウント (SPN が設定されているアカウント) 、信頼関係オブジェクトは明示的にAESに限定をしておく © Copyright Microsoft Corporation. All rights reserved. 67

68. Active Directory Kerberos 認証でのRC 4 無効化対応ステップ ② Kerberos 認証を AES

    のみに設定する (2) ❑ 各ドメインコントローラーのレジストリで DefaultDomainSupportedEncTypes • 設定値: HKLM\\SYSTEM\\CurrentControlSet\\Services\\KDC\\DefaultDomainSupportedEncTypes を以下のいずれかに設定す る • 0x3C（RC4無効＋AESでチケットおよびセッション鍵を保護） • 0x38（純粋なAESのみ運用） • 現在のデフォルト値は0x27 (DES・RC4を許可し、AESはセッション鍵として使用) • この設定により、ドメイン全体の既定の暗号化種別がAES128・AES256のみに変更される。msDS-SupportedEncryptionTypes属性が 未設定（空白）のアカウントに対してもドメインコントローラーがAESのみ利用するよう強制される • 新規に作成されたアカウントに対して属性未設定の場合でもRC4が使われることを防ぐ © Copyright Microsoft Corporation. All rights reserved. 68

69. まとめ © Copyright Microsoft Corporation. All rights reserved. 69

70. まとめ  企業組織への侵害の過程での Active Directory 環境への侵害の事例 は多く報告されている  Active Directory

    侵害の特徴を理解することが重要  乗っ取られた正規のアカウントや構成不備を中心として拡大する：ネットワーク分離、マルウェア対 策、パスワード強化だけでは不十分  侵入者の検出が困難：異常系の監視、イベントログ監視だけでは対応できない  復旧が困難：大規模な運用への影響が生じる。不十分な復旧で繰り返し被害に遭う場合も。  Active Directory セキュリティとは、継続的な改善で誤った構成や攻撃パ スを軽減すること  点やリストではなく、グラフでADの構成と攻撃面を把握することが大事  IT 運用管理者と利用者が協力して取り組むことが大事 70 © Copyright Microsoft Corporation. All rights reserved.

71. Active Directory のセキュリティ保護は継続的な取り組み  Active Directory の構成は常に変化しつづける。また、攻撃手法も常に進化 している。  Active

    Directory セキュリティとは、継続的な改善で誤った構成や攻撃パスを 軽減すること  IT 運用管理者と利用者が協力して取り組むことが大事  必要な権限は、利用しているサービスやシステムによって異なる © Copyright Microsoft Corporation. All rights reserved. 71

72. © Copyright Microsoft Corporation. All rights reserved.