Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Similar documents
ログを活用したActive Directoryに対する攻撃の検知と対策

WannaCry ランサムウエアに関するレポート 2017 年 5 月 18 日 ( 第 2 版 ) 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

PowerPoint Presentation

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

Microsoft PowerPoint - A-3予稿最終版

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

インシデント対応ハンズオン for ショーケース

Microsoft PowerPoint _A4_予稿(最終)

中小企業向け サイバーセキュリティ対策の極意

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

マルウェアレポート 2018年2月度版

インシデントハンドリング業務報告書

Zone Poisoning

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

スライドタイトル/TakaoPGothic

プロフィール 名前 : 満永拓邦 ( みつながたくほう ) 所属 : 東京 学情報学環セキュア情報化社会寄付講座 (SiSOC) 特任准教授 JPCERTコーディネーションセンター早期警戒グループ技術アドバイザー 業務 : セキュリティに関する情報の収集 分析 発信 外部の組織や企業の経営層やシステ

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

マイナンバー対策マニュアル(技術的安全管理措置)

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

プレゼンテーション

Internet Week ショーケース 実践インシデント対応 ~ 侵入された痕跡を発見せよ ~ 2017 年 6 月 2 日 JPCERT コーディネーションセンター分析センターマネージャー竹田春樹

マルウェアレポート 2017年12月度版

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

製品概要

Microsoft PowerPoint - 3_PI System最新セキュリティについて

PowerPoint プレゼンテーション

中小企業向け サイバーセキュリティ対策の極意

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc

標的型攻撃の内部対策の要特権アカウントの保護 2017 年 5 月 エンカレッジ テクノロジ株式会社 はじめに ますます巧妙化する標的型攻撃 企業や官公庁における情報漏えいなど情報セキュリティインシデントが相次いで発生している背景から セキュリティリスクは企業や官公庁にとって対処すべき重要な課題の一

ALogシリーズ 監査レポート集

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

MSDynamicsCRM_汎用プレゼン

WSUS Quick Package

Windows Server 2008/2008 R2 Active Directory環境へのドメイン移行の考え方

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

JP1 Version 12

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

PowerPoint Presentation

Microsoft PowerPoint - A-5予稿_最終版

PowerPoint プレゼンテーション

Microsoft PowerPoint - softbankVaronis-1.ppt

PowerPoint プレゼンテーション

Trend Micro Cloud App Security ご紹介資料

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

Template Word Document

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

2015 Microsoft Corporation. All rights reserved 1 Office 365 / モバイル活用を促進させる最新のクラウド管理ソリューション 日本マイクロソフト株式会社

サイバー攻撃の現状

マルウェアレポート 2018年3月度版

Microsoft Word - クライアントのインストールと接続設定

Page 1 A-2. 標的型攻撃を受けているらしいとの連絡があった時の調査と対応 東海大学 東永祥 公益社団法人私立大学情報教育協会

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

2018 年 9 4 開催第 76 回 JIPDEC セミナー 企業が今とるべきセキュリティ対策 本企業を狙う特徴的 と効果的な対策について 株式会社ラックサイバー グリッド ジャパン次世代技術開発センター 笠原恒雄 はじめに 2001 年のラック 社後 製品サポート業務 脆弱性調査業務に従事し ソ


付加情報をもったファイル共有システム

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

平成 28 年度大学情報セキュリティ研究講習会 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習資料 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習環境について 攻撃側 PC(attacker-pc) と感染側 PC(sjk-pc) の

Active Directory のすすめ

2 Copyright(C) MISEC

目次 1. はじめに バックアップと復元の概要 Active Directoryのバックアップ Active Directoryの復元 ドメインコントローラの復元 ( 他のドメインコントローラが利用できる場合 )

Web Gateway資料(EWS比較付)

PowerPoint Presentation

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

KSforWindowsServerのご紹介

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

SHODANを悪用した攻撃に備えて-制御システム編-

弊社アウトソーシング事業

Microsoft認定資格問題集DEMO(70-413_Part2)

McAfee Application Control ご紹介

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

感染の経緯とメカニズム Softbank World Copyright 2013 Symantec Corporation. All rights reserved. 2

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

OSI(Open Systems Interconnection)参照モデル

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

Microsoft PowerPoint - B4_理解度WG.pptx

SOC Report

UsageGuidewithAD_

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

PowerPoint Presentation

0. デジタルアーツのご紹介 1. Office365 による利便性の向上とリスク 2. 情報漏洩対策の IRM ソリューション (Information Rights Management) 3. IRM を補完する FinalCode 4. まとめ 2

仙台 CTF2018 セキュリティ技術競技会 (CTF) 問題解説復習問題 平成 30 年 11 月 10 日 仙台 CTF 推進プロジェクト 五十嵐良一 Copyright (C) 2018 Sendai CTF. All Rights Reserved.

The Microsoft Conference 2014 MN-212 ROOM D

質問と回答 : Q1. このQ&Aの目的は何ですか? A1. このQ&Aは プラットフォームと Intel AMTのセキュリティ機能を保護するためのベストプラクティスを明確にし Intel AMTの脆弱性にまつわる誤解を解消するものです この攻撃を試みるためには デバイスとOS 管理者の資格情報に物

NISSHO ELECTRONICS

目次 1 本業務の目的 本業務の基本事項... 3 (1) 認証一元化基盤とは... 3 (2) 前提条件... 4 (3) 本業務の対象範囲... 6 (4) 本業務のスケジュール 認証一元化基盤設定要件... 6 (1) 仮想マシン... 6 (2) AD... 6

2 0. 事前準備

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

Transcription:

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ とが報告されている また AD のログが十分な期間保存されておらず 調査が困難なケースもあったという AD への攻撃に対 する脅威が高まっている一方で AD のログをセキュリティ観点で確認することの重要性が認識されていない傾向があるといえ る そのような状況では 攻撃に気づくことができずに被害が拡大したり 侵害されたコンピュータやアカウントを特定できず 有効な対策がとれない可能性が高いと考えられる そうした事態を避けるために AD のログを適切に保管し 定期的に AD のロ グを確認することが重要となる 2. Active Directory に対する攻撃 標的型攻撃において 組織のネットワークに潜入した攻撃者は 効率的な侵害を目的として AD 環境における最高の特権であ るドメイン管理者権限の窃取を試みる傾向がある [2] ドメイン管理者は AD 環境の全てのリソース (ユーザやコンピュータなど) に対する管理権限を持つため 攻撃者にドメイン管理者権限を窃取されると 大きな脅威となる 本章では 標的型攻撃における Active Directory に対する攻撃について述べる 標的型攻撃のステップ 典型的な標的型攻撃のステップは サイバーキルチェーンと呼ばれるステップに分けることができ 本稿では簡易的に以下 4 つ に分類する 準備 標的組織の情報を入念に調査し 攻撃ツールやマルウエアなど攻撃の準備を整える 潜入 実行ファイルを添付した標的型メールの送付などにより 組織内の端末をマルウエアに感染させる 横断的侵害 組織内ネットワークの探索や感染の拡大を行い 目的を達成するまで組織内ネットワークを横断的に侵害する 目的達成 機密情報の窃盗など本来の目的を達成する 図1 標的型攻撃のステップ 1

Web AD AD AD Kerberos NTLM [3][4] Kerberos AD Ticket-Granting Tickets (TGT) Service Ticket (ST) DC ( 10 ) NTLM AD Windows AD IP Pass-the-Hash NTLM Pass-the-Ticket Kerberos AD AD MS14-068 [5] Golden Ticket Golden Ticket (TGT) Golden Ticket Golden Ticket ( 10 ) Golden Ticket 3. Active Directory Golden Ticket Golden Ticket Golden Ticket AD DC DC ( ) DC AD 2

図 2 AD に対する攻撃 を確認する必要がある AD ログの主要な確認観点として 通常の運用で記録されないような不審なログの調査 および認証ログ の調査の2つが上げられる 具体的な確認方法については [1] を参照のこと 不審なログの調査 Microsoft 社がモニタリングを推奨しているイベント [6] や 運用で頻繁に行わないようなログ消去など のイベント 攻撃が試行された際に記録される可能性がある特定のエラーコードなどを調査する 認証ログの調査 認証ログに記録されるアカウントや端末などの情報を確認し 運用と比較して意図しないログがないかを 調査する イベントログはログ量が膨大であることや ログのフォーマットが複雑であること 同じイベント ID が重複して記録されるこ となどの理由から 人手で調査を行うことは容易でない イベントログから必要な項目を抽出し 分析できるツールを使用するこ とで 効率的にログを確認することができる 3. Active Directory 保護を目的としたトレーニングの実施 AD のログ調査やセキュリティ対策の重要性を認識してもらうためには トレーニングを実施することも有効である 弊学では AD セキュリティに関するトレーニングを実施しており 本章では 昨年度 重要インフラ企業のセキュリティ関係者を対象に実 施したトレーニングの結果から得られた知見について紹介する トレーニング内容としては 社内環境を模した AD の環境を受講 者に構築してもらい その環境に対して標的型攻撃を模倣した攻撃を実施した その後 受講者が各チーム毎に発生した事象を調 査し インシデントレスポンスやセキュア化を行う演習を実施した 以下は 演習で行なった攻撃の一例である 1. 認証情報窃取ツール (mimikatz) を使ったメモリ上の認証情報の窃取 2. MS-14-068 の脆弱性を悪用したドメイン管理者への権限昇格 3. ファイルサーバ上の機密情報の窃取 3

4. Golden Ticket Golden Ticket 1-1 (1 ) (2 ) 1( ) 33% 100% 2(MS-14-068 ) 33% 100% 3(Golden Ticket ) - 27% N=15 1 2 AD Golden Ticket Golden Ticket Golden Ticket ( ) 4. AD DC AD [1] 4

5. [1] JPCERT/CC, Active Directory, https://www.jpcert.or.jp/research/ad.html [2] JPCERT/CC, Active Directory, https://www.jpcert.or.jp/at/2014/at140054.html [3] Microsoft, Mitigating Pass-the-Hash and Other Credential Theft, https://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-6ecfb10cb4b9/mitigating-pass-the- Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf [4] CERT-EU, Protection from Kerberos Golden Ticket, https://cert.europa.eu/static/whitepapers/cert-eu- SWP 14 07 PassTheGolden Ticket v1 1.pdf [5] Microsoft, MS14-068 -, https://technet.microsoft.com/ja-jp/library/security/ms14-068.aspx [6] Microsoft, Securing Active Directory: An Overview of Best Practices, https://technet.microsoft.com/enus/library/dn205220.aspx 5

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック