近年、深刻な脅威となっているランサムウェア攻撃では、AD(Active Directory)侵害を前提とした攻撃ステップが確認されています。AD侵害は、NTLMやKerberosといった正規の認証を悪用して進行するため、単なるエンドポイントセキュリティ対策で防ぐことは困難です。
ITDR(Identity Threat Detection and Response)は、認証や権限の不正利用を検知する仕組みであり、エンドポイントの挙動を監視するEDRと併用することでActive Directory(AD)侵害への防御力を高められます。本記事では、AD侵害の5つの攻撃ステップ、mimikatzによる横展開の仕組み、EDR・ITDRの役割分担と運用設計のポイントを解説します。
はじめに
AD(Active Directory)は、多くの企業において認証・認可の中核を担う存在です。そのため、サイバー攻撃においても、ADは依然として主要な標的であり続けています。実際にランサムウェアによる攻撃においても、暗号化範囲を広げ被害を最大化するため、高権限の認証情報を狙い、AD侵害を前提とした攻撃ステップが確認されています。[i]
一方で、AD侵害はランサムウェアをはじめとしたマルウェアの実行のような分かりやすいプロセスや挙動のみで成立するとは限りません。AD独自の認証機構を悪用することで横展開や権限昇格が行われるため、従来のEDR(Endpoint Detection and Response)などのエンドポイント対策だけでは、検知や防御が難しいケースがあります。
こうした背景から、近年はEDRに加えて、ITDR(Identity Threat Detection and Response)の併用がAD保護のスタンダードとなりつつあります。しかし企業のセキュリティ運用の現場では、双方の違いが十分に整理されないまま、EDR導入のみでリスク低減を図ろうとするケースも少なくありません。さらにEDR、ITDR双方を導入した環境においても、その役割の違いが明確にされないままでは、AD保護として十分に機能しないという課題があります。
本記事では、NTLM・KerberosといったAD認証の仕組みを押さえた上で、攻撃ステップを整理し、攻撃者は横展開をどのように成立させるのかを解説します。そのうえで、EDRとITDRがそれぞれどの範囲の攻撃に有効なのか、また運用の観点でどのように役割分担を考えるべきかを整理していきます。
Active Directory侵害はどのような攻撃ステップで進むのか
AD侵害は、単一の脆弱性や不正操作によって一度に成立するものではありません。多くの場合、攻撃者は複数の段階を踏みながら、影響範囲と権限を拡大していきます。
この一連の流れを理解することは、EDRやITDRの特徴と防御範囲を整理するうえで重要となります。
AD侵害の特徴として、初期侵入時点では、攻撃者は限定的な権限のみを獲得しているということが挙げられ、図1に示すようなステップで正規の認証・管理機能を悪用しながら進行し、管理ドメイン全体を掌握していきます。
したがって、AD侵害は進行過程でも発見・対処の余地があります。不審な認証挙動を可視化・検知すること、および認証悪用につながる脆弱な設定の有無を可視化することが、防御側の重要な役割となります。
AD侵害ステップ
ステップ1:初期侵入
最初の段階は、攻撃者が社内ネットワークや端末へ足掛かりを得る「初期侵入」であり、この時点でADそのものが直接侵害されているケースは稀です。
初期侵入は組織全体のセキュリティ成熟度に依存する要素が大きく、ここで得られるのは限定的な権限に留まることが一般的です。
初期侵入の例として、VPN機器等の脆弱性や脆弱なパスワードの利用を起点として、一般ユーザのアカウントや業務サーバの一部、外部公開システム経由の侵入等を利用し、端末のローカル権限の掌握が挙げられます。
ステップ2:認証情報の取得
次に攻撃者が狙うのが、AD環境で利用可能な認証情報です。
Administratorなどのローカル管理者権限を持つユーザを足掛かりとし、ドメインユーザの認証情報を窃取しようとします。
AD環境では認証情報が複数の端末やサーバで横断的に利用されるため、一度取得した情報が次の攻撃でも活用されることになります。
攻撃者が狙う情報としては、一般ユーザの認証情報、管理者が過去にログインした痕跡やサービスアカウントに関連する情報などが挙げられます。
このステップで後述の、認証情報を収集するツールであるmimikatzや、Windows正規コマンドであるSysinternals等が用いられるケースが考えられます。
ステップ3:横展開による影響範囲の拡大
認証情報を取得した後は、攻撃者が他の端末やサーバへとアクセスを広げていく横展開のステップです。
管理者権限など高権限をもつアカウントを探索すべく、ステップ2で取得した認証情報を用いて組織内のシステムへログインを試みます。
攻撃者は正規の権限を取得しているため、正規の認証方式を使用することができ、通常業務利用と区別がつきにくく、ネットワーク上の正規通信として見落とされるケースがあります。その結果、AD認証挙動を十分に監視できていない環境下では管理者が認識しないまま侵害が複数端末・複数サーバに静かに拡大していく可能性があります。
ステップ4:権限昇格とADへの接近
横展開を進める中で、攻撃者はサーバ管理者権限、AD管理用アカウント、ドメイン全体に影響を与えられる権限等のより高い権限を持つアカウントを探索します。ステップ4の最終的な目的は、AD管理に関わる権限の取得です。
この段階に至ると、攻撃者はADそのものを操作できる立場に近づき、防御側の対応余地は急激に狭まると言えます。
また、攻撃者はより高権限のADアカウント情報を取得するため、ステップ2から4は繰り返されることがあります。
ステップ5:ドメイン支配と永続化
最終段階では、攻撃者はAD環境を長期的に支配、あるいは再侵入可能な状態を作ろうとします。具体的には、AD設定の変更や権限構造の改変、不正な設定やアカウントの残存が挙げられます。
さらに、AD環境でWindowsコンピュータやユーザの設定・制限を管理できる機能であるグループポリシーを悪用したマルウェアの配布等の挙動も考えられ、攻撃ステップがここまで進行すると被害は単なる端末侵害に留まらず、業務全体に影響を及ぼす可能性が高い状態となります。
なぜAD侵害は検知が難しいのか
AD侵害が見落とされる原因となるのが、これらのステップが多くの場合、正規の認証・管理機能の延長線上で行われる点です。
そのため、不審なマルウェア実行だけを監視していては不十分であり、認証や権限の使われ方そのものを監視することが求められます。したがって、エンドポイントを監視するEDRと認証挙動を監視するITDRの併用が有効であると考えられています。
次章では、AD認証の仕組み(NTLM/Kerberos)を整理し、なぜこれらが攻撃に悪用されやすいのかを見ていきます。
AD認証の基本と、認証情報を狙った侵害の進み方
AD侵害を理解するうえで欠かせないのが、ADにおける認証の仕組みです。
攻撃者は常に脆弱性などのシステム欠陥だけを狙うのではなく、多くの侵害プロセスではNTLMやKerberosといった正規の認証方式そのものを悪用することで、横展開や権限昇格を成立させます。
ここではまず、AD認証の基本を押さえたうえでそれがどのように侵害に利用されるのかを整理します。
NTLM認証の基本的な仕組み
NTLMは、Windows環境で長く使われてきた認証方式です。
特徴はパスワードそのものを端末から認証基盤へ送信せず、ハッシュ値を用いたチャレンジレスポンス方式で認証を行う点にあります。[ii]
つまりNTLM認証ではパスワードそのものを知らなくても、認証に使われるハッシュ情報があれば認証の突破が可能な場合(「Pass the Hash」として知られています)があるということです。
この性質により、攻撃者が認証情報を取得できた場合には正規ユーザとして振る舞うことが可能になります。
Kerberos認証の基本的な仕組み
現在のAD環境では、Kerberosが標準的な認証方式として利用されています。
Kerberosでは、ドメインコントローラが発行する「チケット」を用いて認証が行われます。
この仕組みにより、各サービスへのアクセスが一元管理化されるという利点があります。一方で、チケットが一度発行されれば一定期間有効であるという特性もあり、有効期間内に攻撃者にチケットを獲得されてしまえばそのまま悪用される余地も生みます(「Golden Ticket」や「Silver Ticket」として知られています)。
認証情報を狙う攻撃の代表例としてのmimikatz
NTLMとKerberosには、認証情報が環境内で再利用される恐れがあるという共通点があります。
アカウントの使い回しや、過去のログイン情報が端末に残ってしまうような運用が重なることで、攻撃者にとっては1つの侵入点からAD全体へ影響を広げる足掛かりをつかめる状態となってしまいます。
こうしたAD認証の仕組みを踏まえて情報を収集する代表的なツールとして知られているのがmimikatz[iii]です。mimikatzはWindows環境において認証に関連する情報を取得・悪用するための機能を持つツール群として知られています。
下図に示すように、パスワードの平文やハッシュ値等、端末のメモリ上に保持されている認証情報がmimikatzにより読み取られます。
しかし、mimikatzは、システムに対して特殊な攻撃手法を仕掛けるわけではなく、あくまでOSやADの正規機能・設計上の特性を利用しているに過ぎません。
mimikatz実行結果のイメージ
mimikatzを起点としたAD侵害・横展開の流れ
AD侵害においてmimikatzは前述のステップ2「認証情報の取得」から「ステップ4:権限昇格とADへの接近」で利用され、概ね次のような流れで認証情報の窃取が進行します。
-
初期侵入した端末上でAdministrator権限を獲得し、ドメイン認証情報にアクセス可能な状態になる
-
端末上に存在する認証関連情報を取得
-
取得した情報を用いて、別の端末やサーバへアクセス
-
より高い権限を持つアカウントが使われているシステムを探索
この過程で行われる横展開は、正規の認証方式を利用しているため、外形的には通常の管理操作と区別がつきにくい場合があります。またこの種の攻撃が有効である要因の一つに、攻撃者は必ずしもパスワードの平文を解読する必要がない点が挙げられます。
先述の認証方式の特性から、認証に使われるハッシュ値などの情報を再利用することで正規のユーザと同じように認証を突破できる場合があります。
EDRとITDRはAD侵害のどこを守れるのか
AD侵害への対策を考える際、「EDRがあるから大丈夫」「ITDRを入れれば解決する」といった単純な議論になりがちです。しかし実際には、両者は監視している対象も、得意とする領域も異なります。
ITDRはEDRではカバーしきれない認証情報を標的とした脅威の検知を行うものであり、EDRと相関分析することでより効果的にAD保護を行うことができます。
ここではAD侵害のステップを踏まえながら、EDRとITDRの基本機能を整理します。
EDRの基本的な役割
EDR(Endpoint Detection and Response)は、その名の通りエンドポイント上の挙動を監視・検知する仕組みです。
主な監視対象は、プロセスの実行状況、メモリ操作や不審な振る舞い、権限昇格や不正なアクセス試行など端末がとる挙動です。AD侵害のプロセスの中では、攻撃が端末上で行われる段階においてEDRは重要な役割を果たします。
そのため、EDRが特に効果を発揮しやすいのは先述のステップ1、2のような、初期侵入後のmimikatzのような不審なツールの実行等、認証情報の窃取を試みる挙動に対応する検知です。
通常利用されることのないmimikatzなどのツールが端末上で実行されたことやその過程などはEDRが検知できる対象の代表例です。
下図ではEDRによるmimikatz検知のイメージを示します。
EDR製品によっては認証情報の窃取を試みる振る舞いの検知・遮断のみならず、実行ファイル自体を隔離することで、ファイルの実行自体を根本から抑止します。
Mimikatz 検知例 
一方でEDRでは取得済みの認証情報を用いたログイン、正規の認証情報を用いた管理者権限による操作といった通常操作で起こりうる挙動については検知するのが難しいケースがあります。
つまりEDRは端末上で異常なプロセスが動いていないかは判断できるものの、その認証や権限が妥当かどうかまでは判断しにくいのです。
ITDRの基本的な役割
ITDR(Identity Threat Detection and Response)は、アイデンティティ(認証・権限・振る舞い)を中心に監視する仕組みです。EDRが端末の挙動を見るのに対し、ITDRは認証の成否や頻度、認証方式の使われ方、権限の付与・変更、ユーザやアカウントの振る舞いの変化等の認証挙動の妥当性を監視します。
ITDRが有効なのは、先述のステップ3から5のような、不自然な認証経路や時間帯のログイン、通常とは異なる認証方式の利用、権限昇格に関わる操作の兆候等、認証情報の仕様に伴う挙動に対応する検知です。
mimikatzを起点とする攻撃では、正規の認証情報を使用した横展開を行う中で異常な振る舞いが発生します。ITDRはこうした正規の認証情報を用いているものの、通常時とは異なる不自然な認証を捉えることを目的としています。下図にはITDRによる異常な認証の検知イメージを示します。
通常の利用傾向から外れた認証プロセスや接続先を検知し、内容によってはログイン遮断を行うことで不正な認証突破を抑止します。
ITDR 検知例
一方でITDRでは不自然な認証挙動が発生したタイミング周辺において端末上でどのようなプロセスが生じていたのか等の初期侵入時の端末挙動の可視化は難しいケースがあります。
これらはEDRの守備範囲なので、ITDRと併用して補完することが重要となります。
AD侵害対策における現実的な考え方
AD侵害の流れに当てはめると、両者の役割は次のように整理できます。
EDR:端末上の不審な挙動を検知・無効化
ITDR:認証や権限の不自然な使われ方を検知
つまり、EDRは「何がどうやって実行されたか」ITDRは「認証挙動が不自然ではないか」を見る仕組みと言えます。
また、近年の一般的な端末はマルウェア対策がなされている場合がほとんどであり、攻撃者はそれを回避する目的で、マルウェアを持ち込まず標的のOSに標準搭載された正規ツール(PowerShell, WMI, cmd.exe等)を悪用するLotL攻撃(Living off the Land:環境寄生型)を行うケースも見られます。現実では単にマルウェア等、悪性ファイルを検知するという話のみではなく、エンドポイント側のEDRでは検知しきれない攻撃者の侵害動作をITDRで検知することが重要になります。
AD侵害は、どこか一箇所だけを守れば防げる攻撃ではありません。初期侵入からドメイン支配に至るまで、複数の防御ポイントが存在します。そのため、EDRで端末起点の異常を捉えITDRで認証・権限の悪用を捉えるという役割分担を前提とした設計と運用が重要になります。
運用目線で考えるEDR・ITDR導入のポイント
ここまでは、EDR・ITDRを併用することの重要性を整理しました。
しかしながらEDR・ITDRはただ「導入しただけ」ではAD侵害を確実に防げるものではありません。
実際の導入効果は、日々の運用設計がどこまで現実のAD侵害を想定できているかに大きく左右されます。
一方で運用負荷とのバランスを調整しながらの導入が現実解となりますので、本章では運用の立場から見た導入時の重要ポイントを整理します。
検知範囲を攻撃ステップで整理する
まず重要なのは、どの攻撃ステップを、どの製品で検知するのかを明確にすることです。
これを整理せずに導入すると「検知は出ているが、何を見ているのか分からない」状態になります。
下図に示すように、初期侵入時のツール実行等の不審プロセスの実行の監視をEDRが、認証の不自然な挙動をITDRがそれぞれ担い、正確な範囲の特定は両者を併用することで可能となります。
攻撃ステップと各製品の主な検知範囲 
またAD侵害は単一イベントでは判断できず、端末上での不審な挙動の検知に加えて、当該端末上のアカウントから周辺機器への不自然な認証挙動を検知し、これらを相関させる監視・分析運用が重要となります。
つまりEDRとITDRを別々に見てAD侵害の一連の流れをステップごとに個別に監視・分析するだけではなく、両者を併用して一連の事象として分析できるような監視設計が求められます。さらに、これらを運用するには専門的な分析スキルと、継続可能な監視体制が不可欠です。そのため、SOCのようなサービスを活用し、統合的に監視・分析を行うことが有効です。
SOCでは、EDRやITDRから得られるログやアラートをもとに、専門的なスキルを持ったアナリストが相関分析を実施します。これにより本記事で整理した考え方に基づき、個別では見えにくい攻撃の流れを一連の事象として把握することが可能になります。
また、SOCによる24時間365日の監視は、攻撃の早期検知と被害最小化に寄与します。結果として単なるツール導入にとどまらず、実効性のあるセキュリティ対策として機能させることができます。
SOCからアラート通知を受け取った時の役割分担やエスカレーションフローを組織全体で整備しておくことも欠かせません。事前に関係者間での対応方針を明確にしておくことで、アラート発生時にも属人的な判断に頼らず、組織として一貫性のあるインシデント対応が可能となります。
まとめ
本記事では、AD侵害が特定の高度な攻撃手法を用いて実行されるものではなく、あくまで正規の認証に則って進められることに触れました。現在では多くの攻撃シナリオでこのような考えが前提となっており、NTLMやKerberosといった正規の認証機構を悪用した攻撃に対して、単一のセキュリティ対策で完全に防ぐことは困難です。
また本記事ではAD侵害の代表的な攻撃ステップを整理し、代表的なツールであるmimikatzを例に横展開がどのように成立するのかを概念レベルで確認しました。そのうえで、EDRとITDRがそれぞれどの範囲を守れるのか、どこに限界があるのかを整理しました。
EDRは端末上で実行される不審な挙動を起点に攻撃を検知・封じ込めることに強みがあります。一方で、正規の認証情報を用いた周辺機器への認証や高権限アカウントへの認証といった、一見通常利用に見えるような操作については可視化が難しいケースもあります。これを補完するのがITDRであり、AD認証や権限の振る舞いを監視することで、EDRでは見えにくい攻撃ステップを検知できます。
重要なのはEDRとITDRをどちらが優れているかで比較するのではなく、攻撃ステップごとに役割を分担させることを前提とした導入を行うという点です。両者を組み合わせることで、初期侵入から横展開、権限乱用までを一連の流れとして把握でき、AD侵害に対する防御力を現実的に高めることができます。
また、AD侵害対策は、製品を導入して終わりではなく、自組織のAD構成や運用実態を理解したうえでEDR・ITDRのログを相関して分析することが求められます。近年のエンドポイントセキュリティ製品の多くはITDR、EDRどちらか一方をカバーするのではなく、それぞれの製品に対応したライセンス販売を行うケースが増えています。そのため実際のエンドポイントセキュリティ製品運用は同一製品の管理画面内でEDRもITDRも管理・分析しやすくなっており、相関分析の運用負荷も軽減されています。
本記事が、EDR・ITDRの導入検討や運用見直しを行う際の整理材料として役立てば幸いです。
<関連サービス>
マネージドEDRサービス|Microsoft Defender for Endpoint
マネージドITDRサービス|CrowdStrike Falcon Identity Protection
参考記事
[i]NRI SecureTechnologies 「不正侵入はどのようにして起こるのか?|実例に基づく侵害の原因と対策」
[ii]Microsoft「NTLM の概要」
https://learn.microsoft.com/ja-jp/windows-server/security/kerberos/ntlm-overview
[iii]ParrotSec「mimikatz」
https://github.com/ParrotSec/mimikatz
