Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座
1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ とが報告されている また AD のログが十分な期間保存されておらず 調査が困難なケースもあったという AD への攻撃に対 する脅威が高まっている一方で AD のログをセキュリティ観点で確認することの重要性が認識されていない傾向があるといえ る そのような状況では 攻撃に気づくことができずに被害が拡大したり 侵害されたコンピュータやアカウントを特定できず 有効な対策がとれない可能性が高いと考えられる そうした事態を避けるために AD のログを適切に保管し 定期的に AD のロ グを確認することが重要となる 2. Active Directory に対する攻撃 標的型攻撃において 組織のネットワークに潜入した攻撃者は 効率的な侵害を目的として AD 環境における最高の特権であ るドメイン管理者権限の窃取を試みる傾向がある [2] ドメイン管理者は AD 環境の全てのリソース (ユーザやコンピュータなど) に対する管理権限を持つため 攻撃者にドメイン管理者権限を窃取されると 大きな脅威となる 本章では 標的型攻撃における Active Directory に対する攻撃について述べる 標的型攻撃のステップ 典型的な標的型攻撃のステップは サイバーキルチェーンと呼ばれるステップに分けることができ 本稿では簡易的に以下 4 つ に分類する 準備 標的組織の情報を入念に調査し 攻撃ツールやマルウエアなど攻撃の準備を整える 潜入 実行ファイルを添付した標的型メールの送付などにより 組織内の端末をマルウエアに感染させる 横断的侵害 組織内ネットワークの探索や感染の拡大を行い 目的を達成するまで組織内ネットワークを横断的に侵害する 目的達成 機密情報の窃盗など本来の目的を達成する 図1 標的型攻撃のステップ 1
Web AD AD AD Kerberos NTLM [3][4] Kerberos AD Ticket-Granting Tickets (TGT) Service Ticket (ST) DC ( 10 ) NTLM AD Windows AD IP Pass-the-Hash NTLM Pass-the-Ticket Kerberos AD AD MS14-068 [5] Golden Ticket Golden Ticket (TGT) Golden Ticket Golden Ticket ( 10 ) Golden Ticket 3. Active Directory Golden Ticket Golden Ticket Golden Ticket AD DC DC ( ) DC AD 2
図 2 AD に対する攻撃 を確認する必要がある AD ログの主要な確認観点として 通常の運用で記録されないような不審なログの調査 および認証ログ の調査の2つが上げられる 具体的な確認方法については [1] を参照のこと 不審なログの調査 Microsoft 社がモニタリングを推奨しているイベント [6] や 運用で頻繁に行わないようなログ消去など のイベント 攻撃が試行された際に記録される可能性がある特定のエラーコードなどを調査する 認証ログの調査 認証ログに記録されるアカウントや端末などの情報を確認し 運用と比較して意図しないログがないかを 調査する イベントログはログ量が膨大であることや ログのフォーマットが複雑であること 同じイベント ID が重複して記録されるこ となどの理由から 人手で調査を行うことは容易でない イベントログから必要な項目を抽出し 分析できるツールを使用するこ とで 効率的にログを確認することができる 3. Active Directory 保護を目的としたトレーニングの実施 AD のログ調査やセキュリティ対策の重要性を認識してもらうためには トレーニングを実施することも有効である 弊学では AD セキュリティに関するトレーニングを実施しており 本章では 昨年度 重要インフラ企業のセキュリティ関係者を対象に実 施したトレーニングの結果から得られた知見について紹介する トレーニング内容としては 社内環境を模した AD の環境を受講 者に構築してもらい その環境に対して標的型攻撃を模倣した攻撃を実施した その後 受講者が各チーム毎に発生した事象を調 査し インシデントレスポンスやセキュア化を行う演習を実施した 以下は 演習で行なった攻撃の一例である 1. 認証情報窃取ツール (mimikatz) を使ったメモリ上の認証情報の窃取 2. MS-14-068 の脆弱性を悪用したドメイン管理者への権限昇格 3. ファイルサーバ上の機密情報の窃取 3
4. Golden Ticket Golden Ticket 1-1 (1 ) (2 ) 1( ) 33% 100% 2(MS-14-068 ) 33% 100% 3(Golden Ticket ) - 27% N=15 1 2 AD Golden Ticket Golden Ticket Golden Ticket ( ) 4. AD DC AD [1] 4
5. [1] JPCERT/CC, Active Directory, https://www.jpcert.or.jp/research/ad.html [2] JPCERT/CC, Active Directory, https://www.jpcert.or.jp/at/2014/at140054.html [3] Microsoft, Mitigating Pass-the-Hash and Other Credential Theft, https://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-6ecfb10cb4b9/mitigating-pass-the- Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf [4] CERT-EU, Protection from Kerberos Golden Ticket, https://cert.europa.eu/static/whitepapers/cert-eu- SWP 14 07 PassTheGolden Ticket v1 1.pdf [5] Microsoft, MS14-068 -, https://technet.microsoft.com/ja-jp/library/security/ms14-068.aspx [6] Microsoft, Securing Active Directory: An Overview of Best Practices, https://technet.microsoft.com/enus/library/dn205220.aspx 5