【技術者向け】Active Directoryをランサムウェアから守る|権限管理と横展開防止
Active Directory(AD)は、ランサムウェア攻撃において最も重要な標的の一つです。攻撃者がドメイン管理者権限を取得すると、グループポリシーを悪用して全社の端末にランサムウェアを一斉配布することが可能になり、被害は壊滅的なものになります。
実際の被害事例でも、AD侵害を起点とした全社感染が多数報告されています。本記事では、Windows管理者やセキュリティエンジニア向けに、ADがなぜ狙われるのか、Tierモデルによる特権アカウント保護、LAPS・Credential Guard等による横展開防止、GPOによるセキュリティ強化、監視すべきイベントログまでを解説します。
ランサムウェア攻撃におけるADの役割
Active Directoryは、Windows環境の認証・認可基盤として中核的な役割を果たしており、攻撃者にとって最も価値の高い標的です。
なぜADが狙われるのか
- ドメイン管理者権限=全端末へのアクセス
- ドメイン管理者(Domain Admins)権限を取得すると、ドメインに参加しているすべてのコンピューター、サーバーへの管理者アクセスが可能になります。これにより、攻撃者は組織全体のシステムを掌握できます。
- グループポリシーによる一斉配布
- グループポリシー(GPO)を悪用することで、ドメイン内の全端末にスクリプトやプログラムを一斉に配布・実行できます。ランサムウェアをGPO経由で配布すれば、数分で全社感染が完了します。
- 認証基盤の掌握
- ADは組織の認証基盤であり、すべてのユーザーアカウント、パスワードハッシュ、Kerberosチケットを管理しています。ADを掌握することで、攻撃者はあらゆるリソースへのアクセスが可能になります。
AD侵害の典型的な攻撃パターン
ランサムウェア攻撃におけるAD侵害は、以下のパターンで進行します。
- 初期侵入→ローカル管理者権限取得
- フィッシング詐欺やVPN機器の脆弱性を悪用して初期侵入後、端末のローカル管理者権限を取得します。脆弱性の悪用や認証情報の窃取により、権限昇格を行います。
- 認証情報の窃取(Mimikatz等)
- Mimikatz等のツールを使用して、メモリ上のパスワードハッシュ、Kerberosチケット、平文パスワードを窃取します。ローカル管理者権限があれば、端末上の認証情報にアクセス可能です。
- 横展開(Pass-the-Hash、Pass-the-Ticket)
- 窃取した認証情報を使用して、他の端末やサーバーに横展開(ラテラルムーブメント)します。Pass-the-Hash攻撃ではNTLMハッシュを、Pass-the-Ticket攻撃ではKerberosチケットを悪用します。
- ドメイン管理者権限の取得
- 横展開を繰り返し、最終的にドメイン管理者権限を持つアカウントの認証情報を取得します。Kerberoasting、DCSync、Golden Ticket攻撃などの手法が使用されます。
- グループポリシーでランサムウェア配布
- ドメイン管理者権限を取得後、GPOを作成・変更してランサムウェアを全端末に配布します。スタートアップスクリプトやスケジュールタスクを設定し、次回のポリシー更新時に一斉実行させます。
AD侵害による被害の深刻さ
- 全社一斉感染のリスク
- GPO経由の配布では、ドメインに参加しているすべてのWindows端末・サーバーが同時に感染する可能性があります。数百台〜数千台規模の一斉感染が発生した事例も報告されています。
- バックアップも含めた暗号化
- ドメイン管理者権限があれば、バックアップサーバーやストレージにもアクセス可能です。バックアップデータも暗号化されることで、復旧が極めて困難になります。詳細はバックアップ戦略をご参照ください。
特権アカウントの保護(Tier Model)
Microsoftが推奨する「Tier Model」は、特権アカウントを階層分離することでAD侵害のリスクを軽減するアーキテクチャです。
Tier Modelとは
Tier Modelでは、ITインフラを3つの層(Tier)に分類し、各層間で認証情報が流出しないように設計します。
- Tier 0:ドメインコントローラー、AD管理
- 最も重要な層で、ドメインコントローラー、AD管理者アカウント、AD管理ツールが含まれます。この層が侵害されると、組織全体のセキュリティが崩壊します。
- Tier 1:サーバー管理
- アプリケーションサーバー、データベースサーバー、ファイルサーバー等のエンタープライズサーバーとその管理者アカウントが含まれます。
- Tier 2:ワークステーション管理
- エンドユーザーのPC、モバイルデバイス、およびそれらを管理するヘルプデスクアカウントが含まれます。攻撃の初期侵入点となることが多い層です。
Tier間の分離原則
Tier Modelの核心は、上位Tierの認証情報を下位Tierで使用しないことです。
- 上位Tierの認証情報を下位で使用しない
- Tier 0のドメイン管理者アカウントで、Tier 2のワークステーションにログオンしてはなりません。ログオンすると、その端末のメモリに認証情報がキャッシュされ、攻撃者に窃取される可能性があります。
- Tier 0アカウントは専用ワークステーションから
- Tier 0の管理作業は、専用の特権アクセスワークステーション(PAW)からのみ行います。これにより、マルウェア感染した一般端末からTier 0認証情報が漏洩するリスクを排除します。
- 管理者アカウントの分離
- 同一人物であっても、Tier 0用、Tier 1用、Tier 2用の異なる管理者アカウントを使い分けます。日常業務用のアカウントとは別に、管理専用のアカウントを作成します。
特権アクセスワークステーション(PAW)
- Tier 0管理専用端末の構築
- ドメインコントローラーの管理やAD設定変更は、専用のPAWからのみ実行します。PAWは通常の業務(メール、Web閲覧等)には使用せず、管理作業専用とします。
- インターネット分離
- PAWはインターネットへの直接アクセスを禁止します。これにより、フィッシング詐欺やドライブバイダウンロードによるマルウェア感染リスクを排除します。
- ハードウェアセキュリティ
- PAWにはTPM、Secure Boot、BitLocker等のハードウェアセキュリティ機能を有効化します。物理的な盗難や改ざんからも保護します。
Tier Model導入のロードマップ
| フェーズ | 期間目安 | 主な作業 |
|---|---|---|
| 現状評価 | 2-4週間 | 現在の特権アカウント棚卸し、リスク評価 |
| Tier 0保護 | 1-2ヶ月 | PAW導入、Tier 0アカウント分離 |
| Tier 1保護 | 2-3ヶ月 | サーバー管理アカウント分離、ジャンプサーバー導入 |
| Tier 2保護 | 1-2ヶ月 | ヘルプデスクアカウント分離、LAPS導入 |
| 継続的改善 | 継続 | 監視強化、定期レビュー |
横展開を防ぐ設定と監視
攻撃者のラテラルムーブメント(横展開)を防止するための具体的な設定を解説します。
LAPSの導入
LAPS(Local Administrator Password Solution)は、ドメイン内の各コンピューターのローカル管理者パスワードを自動的に管理するMicrosoftのソリューションです。
- ローカル管理者パスワードの自動管理
- LAPSは各端末のローカル管理者パスワードを定期的に自動生成・変更し、ADに安全に保存します。管理者は必要に応じてADからパスワードを取得できます。
- 端末ごとに異なるパスワード
- 各端末のローカル管理者パスワードがすべて異なるため、1台の端末からパスワードが漏洩しても、他の端末には横展開できません。
- Pass-the-Hash攻撃の緩和
- 共通のローカル管理者パスワードを使用している環境では、1つのハッシュを取得すれば全端末に横展開可能です。LAPSはこのリスクを根本的に解消します。
Credential Guard
Windows Credential Guardは、仮想化ベースのセキュリティ(VBS)を使用して認証情報を保護する機能です。
- 認証情報の保護(仮想化ベース)
- NTLMハッシュやKerberosチケットを、通常のOSプロセスからはアクセスできない隔離された仮想環境に保存します。Mimikatz等のツールによる認証情報窃取を防止できます。
- 対応要件と有効化方法
- Credential Guardには、UEFI、セキュアブート、TPM 2.0等のハードウェア要件があります。グループポリシーまたはIntune経由で有効化できます。対応ハードウェアの確認が必要です。
ネットワークログオンの制限
- 特権アカウントのネットワークログオン禁止
- ドメイン管理者等の特権アカウントは、ネットワーク経由でのログオンを禁止します。グループポリシーの「ネットワーク経由でコンピューターへアクセスを拒否する」設定を使用します。
- Protected Usersグループの活用
- 特権アカウントを「Protected Users」セキュリティグループに追加すると、NTLMの使用禁止、Kerberosチケットの有効期限短縮、資格情報のキャッシュ禁止などの保護が自動的に適用されます。
SMB署名の強制
- 中間者攻撃の防止
- SMB署名を強制することで、SMB通信の完全性を保証し、中間者攻撃(MITM)を防止します。中間者攻撃(MITM)のリスク軽減に有効です。
- リレー攻撃の緩和
- NTLM認証のリレー攻撃を防止するため、SMB署名の強制に加えて、Extended Protection for Authentication(EPA)の有効化も推奨します。
横展開防止設定の一覧
| 対策 | 効果 | 導入難易度 |
|---|---|---|
| LAPS | ローカル管理者パスワードの分離 | 低 |
| Credential Guard | 認証情報の保護 | 中 |
| Protected Users | 特権アカウントの強化保護 | 低 |
| SMB署名の強制 | リレー攻撃の防止 | 低 |
| ネットワークログオン制限 | 特権アカウントの保護 | 中 |
| Tier Model | 認証情報の階層分離 | 高 |
GPOによるセキュリティ強化
グループポリシー(GPO)を活用したセキュリティ強化設定を解説します。
推奨GPO設定
- アカウントポリシー(パスワード、ロックアウト)
- パスワードポリシーでは、最小長14文字以上、複雑性の要件有効、パスワード履歴24回以上を推奨します。アカウントロックアウトポリシーでは、5回の失敗でロックアウト、30分後にリセットを設定します。総当たり攻撃(ブルートフォース)への対策として有効です。
- 監査ポリシー(成功・失敗の監査)
- ログオン成功・失敗、特権使用、オブジェクトアクセス、ポリシー変更等の監査を有効化します。詳細な監査ポリシー(Advanced Audit Policy)の使用を推奨します。
- 特権の割り当て
- 「ローカルログオンを許可」「ネットワーク経由でアクセス」「リモートデスクトップ経由でログオン」等の権限を、必要最小限のグループに制限します。
- セキュリティオプション
- 「ローカルシステムのNULLセッション」の無効化、「匿名のSID/名前変換」の禁止、「LAN Manager認証レベル」のNTLMv2のみ許可、等を設定します。
CISベンチマークの活用
- CIS Microsoft Windows Server Benchmark
- Center for Internet Security(CIS)が提供するWindows Serverのセキュリティ設定ガイドラインです。レベル1(基本)、レベル2(高セキュリティ)の推奨設定が定義されています。
- 推奨設定の適用
- CISベンチマークに準拠したGPOテンプレートを活用することで、包括的なセキュリティ強化が可能です。Microsoft Security Compliance Toolkitも併用できます。
GPO設定チェックリスト
| カテゴリ | 設定項目 | 推奨値 |
|---|---|---|
| パスワード | 最小パスワード長 | 14文字以上 |
| パスワード | パスワードの複雑性 | 有効 |
| パスワード | パスワード履歴 | 24回 |
| ロックアウト | ロックアウトしきい値 | 5回 |
| ロックアウト | ロックアウト期間 | 30分 |
| 監査 | ログオンイベント | 成功/失敗 |
| 監査 | 特権使用 | 成功/失敗 |
| セキュリティ | LAN Manager認証 | NTLMv2のみ |
| セキュリティ | SMB署名 | 必須 |
ADのバックアップと復旧計画
AD環境のバックアップと復旧計画は、ランサムウェア被害からの回復に不可欠です。
ADバックアップの重要性
- システムステートバックアップ
- ドメインコントローラーのシステムステートには、AD データベース(NTDS.dit)、SYSVOL、レジストリ、起動ファイル等が含まれます。Windows Server Backupまたはサードパーティツールでバックアップします。
- オフライン保管
- バックアップデータは、ネットワークから隔離されたオフラインストレージに保管します。これにより、ランサムウェアがバックアップを暗号化するリスクを排除します。
- 複数世代の保持
- ランサムウェアが長期間潜伏している可能性を考慮し、複数世代(最低30日分以上)のバックアップを保持します。感染前の状態に復旧できることを確認します。
ADフォレスト復旧計画
- 復旧手順の文書化
- フォレスト全体が侵害された場合の復旧手順を詳細に文書化します。Authoritative Restore、DSRM(Directory Services Restore Mode)での復旧、DNS復旧等の手順を整備します。
- 復旧テストの実施
- 年1回以上、バックアップからのAD復旧テストを実施します。テスト環境を用意し、実際に復旧可能であることを確認します。
監視すべきイベントログ
AD環境における不審なアクティビティを検知するために、重要なイベントログを監視します。
検知すべきイベント
| イベントID | 説明 | 検知すべき理由 |
|---|---|---|
| 4624 | ログオン成功 | 不審な時間帯・場所からのログオン |
| 4625 | ログオン失敗 | パスワードスプレー攻撃の検知 |
| 4672 | 特権の割り当て | 管理者権限の使用監視 |
| 4720 | ユーザーアカウント作成 | 不正なアカウント作成の検知 |
| 4726 | ユーザーアカウント削除 | 証拠隠滅の検知 |
| 4728 | グループへのメンバー追加 | 権限昇格の検知 |
| 4732 | ローカルグループへの追加 | 権限変更の監視 |
| 4768 | Kerberos TGT要求 | 不正な認証の検知 |
| 4769 | Kerberosサービスチケット | Kerberoasting検知 |
| 7045 | サービスのインストール | マルウェアの永続化検知 |
監視ツールとの連携
- SIEM連携
- 上記のイベントログをSIEMに転送し、相関分析を行います。複数イベントの組み合わせで攻撃パターンを検知できます。詳細はSIEMでランサムウェアを検知するをご参照ください。
- Microsoft Defender for Identity
- AD環境に特化した脅威検知サービスで、Pass-the-Hash、Pass-the-Ticket、DCSync、Golden Ticket等のAD攻撃を検知します。オンプレミスADとAzure ADの両方をカバーします。
検知すべき攻撃パターン
- Kerberoasting
- サービスアカウントのSPN(Service Principal Name)を列挙し、Kerberosサービスチケットを取得後、オフラインでパスワードクラックを試みる攻撃です。イベントID 4769の大量発生を監視します。
- DCSync攻撃
- ドメインコントローラーのレプリケーション権限を悪用し、ADデータベースからパスワードハッシュを抽出する攻撃です。イベントID 4662でDirectory Service Replicationの監査を行います。
- Golden Ticket攻撃
- krbtgtアカウントのハッシュを使用して、任意のユーザーになりすましたKerberosチケットを生成する攻撃です。検知が困難なため、krbtgtパスワードの定期変更が重要です。
よくある質問(FAQ)
- Q: Tier Modelの導入は中小企業でも必要ですか?
- A: 規模に応じた簡易版の導入を推奨します。フルスケールのTier Modelは大企業向けですが、中小企業でも以下の対策は実施すべきです。ドメイン管理者アカウントの分離(日常業務と管理業務で別アカウント)、管理者アカウントでのWeb閲覧・メール禁止、LAPSの導入。これらだけでも横展開のリスクを大幅に軽減できます。
- Q: LAPSの導入にはどのくらいの工数がかかりますか?
- A: LAPSの導入自体は比較的容易で、小規模環境であれば数日、大規模環境でも1-2週間程度で導入可能です。主な作業は、ADスキーマの拡張、GPOの設定、クライアントへのLAPSクライアント配布です。ただし、既存の運用プロセス(ヘルプデスクでのパスワード取得フロー等)の変更が必要な場合は、追加の調整期間が必要です。
- Q: Credential Guardを有効化すると業務に影響はありますか?
- A: 一部の古いアプリケーションやプロトコルで互換性の問題が発生する可能性があります。特に、NTLMv1認証を使用するレガシーアプリケーション、特定のVPNクライアント、一部のRDPシナリオで問題が報告されています。本番環境への展開前に、テスト環境での検証を強く推奨します。
- Q: ドメインコントローラーのバックアップはどの程度の頻度で取得すべきですか?
- A: 最低でも毎日のバックアップを推奨します。AD環境が頻繁に変更される(ユーザー追加、GPO変更等)場合は、1日複数回のバックアップも検討してください。また、GPOの変更前、OSパッチ適用前など、重要な変更作業の前にもバックアップを取得することを推奨します。
- Q: krbtgtパスワードの変更はどのくらいの頻度で行うべきですか?
- A: Microsoftは、最低でも年1回のkrbtgtパスワード変更を推奨しています。ただし、セキュリティインシデントが発生した場合、または侵害の疑いがある場合は、即座に2回連続で変更する必要があります(1回目で古いパスワードを履歴に、2回目で完全に無効化)。変更は慎重に行う必要があり、手順を事前に確認・テストしてください。
まとめ:AD保護の優先順位
AD環境のランサムウェア対策は、以下の優先順位で進めることを推奨します。
- 短期(〜1ヶ月)
- LAPSの導入、Protected Usersグループの活用、監査ポリシーの強化、イベントログ監視の開始。比較的容易に導入でき、効果の高い対策から着手します。
- 中期(1〜6ヶ月)
- Tier Model(簡易版)の導入、Credential Guardの有効化、GPOセキュリティ設定の強化、バックアップ戦略の整備。計画的に進める必要がある対策を実施します。
- 長期(6ヶ月〜)
- フルスケールTier Modelへの移行、PAW(特権アクセスワークステーション)の導入、Microsoft Defender for Identityの導入、継続的な改善サイクルの確立。組織全体のセキュリティ成熟度を高めます。
本記事の情報が、AD環境のセキュリティ強化の一助となれば幸いです。個別の導入判断については、Microsoftパートナーやセキュリティ専門家へのご相談をお勧めします。
関連記事
- ランサムウェアとは?仕組み・感染経路・対策を解説
- ランサムウェア対策完全ガイド
- SIEMでランサムウェアを検知する
- ゼロトラストでランサムウェアを防ぐ
- ランサムウェア対策のバックアップ戦略
- ランサムウェアのフォレンジック調査
- 不正アクセス対策
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
