Active Directory が今、ランサムウェアなどサイバー攻撃の主要な標的になっています。Active Directory の侵害は、企業にとって死活問題にもなり得る深刻なリスクです。そのため、セキュリティ対策の重要度は極めて高いといえます。
本コラムでは、Active Directory が狙われる背景や、危機に備えるために必要な対策について解説します。
なぜ Active Directory が狙われるのか?サイバー攻撃者が標的とする理由
攻撃者が Active Directory を乗っ取る2つの狙いとは?
ある企業がランサムウェア攻撃の被害に遭い、約7割のサーバと約2割のPCが暗号化された事件がありました※1。初期侵入後にActive Directory が侵害されたことで、被害は全社的に拡大しました。しかも、この攻撃はわずか3日間で行われたものでした。
また別の企業では、Active Directory 陥落後、4時間ほどでファイルサーバの情報窃取や暗号化、PCやバックアップファイルの暗号化にまで至ったことが報告されています。
近年、Active Directory が攻撃者の標的となるケースが増えています。実際、Microsoft も Active Directory が企業サイバー攻撃の標的となるケースが増えているとして、脅威への対策を紹介しています※2。
なぜ、Active Directory が狙われるケースが増えているのでしょうか。その理由を整理してみましょう。
Active Directory は社内のユーザや端末を管理し、認証・認可などの役割を担います。そのため、会社の「IT資産の名簿」であり、「通行証発行所」にも例えられる重要な存在です。こうした中枢的なシステムの権限を奪うことによる攻撃者の狙いは、次のようなものと考えられます。
●セキュリティ対策ソフトに検知されることなく、社内のコンピュータ全てを掌握すること
●迅速に目的を達成すること(攻撃阻害要因の排除・重要情報の盗み取り・コンピュータの暗号化)
Active Directory を攻撃されることで被害がより拡大する危険性も
次に、サイバー攻撃による具体的な被害について解説します。
攻撃が Active Directory まで到達し権限が奪われると、攻撃者はサーバやPCに対する設定変更などを一気に進めることができます。その結果として、業務停止につながる暗号化や、情報窃取などの被害につながってしまうのです。
特に昨今、被害が著しく増大しているのがランサムウェア攻撃です。これは、暗号化したデータの復旧や、盗み出した情報の非公開と引き換えに、企業へ多額の金銭を要求する「経済的目的」の犯罪です。
警察庁の報告※3 によると、被害に関する調査や復旧の費用は高額化しています。実際に、復旧に総額 1,000 万円以上を要した組織の割合は、全体の5割を超えているのが現状です。
『令和7年におけるサイバー空間をめぐる脅威の情勢等について』警察庁
また、JNSAは「実際のインシデント発生時には、各種対応ほか、被害者からの損害賠償請求、事業中断による利益喪失などを想定するに、中小企業においても数千万単位、場合によって億単位のお金がかかる」と述べ、企業規模を問わず攻撃が行われ、調査対応や賠償金などにも多額の費用が発生することに対して注意を促しています※4。
このように、Active Directory は企業の権限などが集中する中枢であり、侵害の影響範囲が広がりやすい点に注意が必要です。的確に対策を行うためにも、次項では Active Directory がどのように狙われるのか、攻撃者の視点で整理してみましょう。
※1:
サイバー情報共有イニシアティブ(J-CSIP)運用状況 [2022年10月~12月]
※2:
Microsoft’s guidance to help mitigate critical threats to Active Directory Domain Services in 2025
※3:
『令和7年におけるサイバー空間をめぐる脅威の情勢等について』警察庁
※4:
『インシデント損害額調査レポート 第2版』JNSA
攻撃者視点で考える、Active Directory のセキュリティ対策で重要なポイント
Active Directory への侵入経路、その多くはVPN機器とリモートデスクトップ
ランサムウェアが Active Directory を攻撃する際には、どのような経路で侵入してくるでしょうか。その代表的なケースを見てみましょう。警察庁の調査結果※5によると、ランサムウェア攻撃の侵入経路の6割以上は「VPN機器」、約2割が「リモートデスクトップ」であることから、VPN機器とリモートデスクトップ経由で Active Directory サーバが制圧される流れの一例を見てみましょう。
- ①侵入:攻撃者は最初にVPNルータの脆弱性を悪用するなどしてアカウントを取得し侵入
- ②権限奪取:Active Directory 情報を収集し、パスワードスプレー攻撃などの手法により、管理者アカウントを乗っ取る
- ③社内制圧:社内グループポリシーの改ざん、ユーザPCのアンチウイルス/EDRの無効化、ユーザPCへマルウェア配信などを行う
- ④情報窃取:機密情報を盗み出し、暗号化の準備を進める
- ⑤暗号化:PC起動時にランサムウェアが起動。ファイルの暗号化が始まる
上記は Active Directory まで侵入される場合の一例ですが、改めて攻撃者視点で目的の達成までにどのような行動をしているのかを考えることが必要です。そして、その攻撃に対して、Active Directory がどのように対策すべきかを考えます。
※5: 『令和7年におけるサイバー空間をめぐる脅威の情勢等について』警察庁
Active Directoryが陥落するまでの攻撃プロセス6ステップ
下図は攻撃者視点で「攻撃のプロセス」を整理したものです。これを見ると、まず「①偵察」して対象企業の情報収集から始める計画的な行為だということがわかります。場当たり的な攻撃ではなく、明確にその企業を攻略するための作戦を練って行動している点が、攻撃や侵入が防ぎにくい理由の1つと言えます。
①で得た情報をもとに「②攻撃」を進めて社内に侵入。その後、攻撃ツールをダウンロードするなど少しずつ侵入後の足場を固めながら「③乗っ取り」を進めていきます。
そして、「④ネットワーク内偵察」しながら攻撃できる脆弱性を調査し、Active Directory サーバの陥落まで進めることで大きく「⑤侵入拡大」が進みます。ここまで進むと、暗号化やファイル情報の窃取などが行われてしまい、「⑥情報漏えい」や金銭の要求まで行われるということになります。
このプロセスで Active Directory 陥落を防ぐためには特にどのポイントで対策すべきでしょうか。まず、「②攻撃」「③乗っ取り」はPC側(EDR)で対応することになりますが、これは Active Directory 陥落を防ぐことはできません。
そのため、Active Directory では主に「④ネットワーク内偵察」「⑤侵入拡大」での対策が求められるということになります。このプロセスでの対策としてすべきことは、大きく下記の2点が挙げられます。
[1] Active Directory に対する、攻撃されないための適切な「設定」
[2] 攻撃された場合に、即座に把握するための「監視」
また、この2つに加えて「Active Directory まで到達させない仕組みづくり」もまた必要です。次項ではこれらの対策について解説します。
3つの視点から考えるADのセキュリティ対策
①設定…まずは現状の内容のチェックから
CIS Benchmarks®※6などのベンチマークや、業界団体のガイドライン、最新のセキュリティ基準などに基づき、Active Directory がインストールされたサーバ全体を網羅的に診断するといったことが求められます。
また、設定を正しく行うことは、万が一、セキュリティ侵害が発生した場合にも被害を最小限に抑え、企業の事業継続性や信頼性を高めるためにも有効です。
▲設定診断サービス 結果報告書イメージ(「
SCSmart Active Directory
」の場合)
※6:CIS Benchmarks®は、米国のCIS (Center for Internet Security)が策定した、情報システムの安全な構築・管理のための構成基準およびベストプラクティスが記載されたガイドラインです。政府機関や企業、学術機関のセキュリティ専門家による知見を基に策定されており、国内外の多くの企業で採用されています。
②監視…24時間365日の監視で脅威の有無を確認
Active Directory に対する攻撃と乗っ取りを監視する体制の構築が必要です。
例えば、ファイルサーバや管理者端末のイベントログの分析、管理者アカウントの窃取、不審な PowerShell 実行やグループポリシー改ざんなどを監視することが必要です。
また、Active Directory に特化したロジックで SIEM や EDR ではカバーできない脅威を検知することも重要です。検知すべき脅威の例として、下表のものが挙げられます。
- アカウントロック
- 不審な管理共有
- イベントログ消失
- PrintNightmare
- BloodHound
- RDPログオン/ログオフ
- PSEXECの実行
- Pass The Hash
- DCSync
- メモリからのクレデンシャル情報流出
- Kerberoasting攻撃
- 登録外のIPと管理者の組み合わせによるログオン
- 監査ログ設定が不十分
- 不審なPowerShell実行
- Golden Ticketの利用
- 登録管理者以外の管理者権限ログオン
- パスワードスプレー攻撃
- 不審なタスク登録
- 不審なレジストリ操作
- 不審なコマンドの実行
- DCShadow
- Skeleton Key
- 意図しない管理者登録
- Zerologon
- 不審なグループポリシー操作
- 重要なセキュリティパッチが未適用
「Active Directory に到達させない仕組み」を作ること
Active Directory を守るということは、脅威が社内に侵入しにくい環境を構築し、運用していくことも重要です。
まず設定面の対策としては、Active Directory の設定と診断に加えて、プラットフォームの脆弱性診断が有効です。
運用面としては、Active Directory の監視に加えて、ゲートウェイの監視やPC監視なども含めた監視ができる環境の構築が必要でしょう。XDRという観点から社内のインフラを統合的に監視することにより、Active Directory への脅威も監視することにつながります。
まとめ
本コラムでは、昨今、大きな脅威となっているランサムウェアを始めとしたサイバー攻撃の実情と Active Directory の関係やセキュリティ対策について解説しました。ぜひ、Active Directory のセキュリティ対策の強化にお役立てください。
また、重要な対策である、設定や監視、Active Directoryに到達させない仕組みづくりですが、専門性が高く自社だけでは難しいという場合があるかもしれません。そのような場合には、Active Directory に関する豊富な実績や知見を持つ、信頼できるパートナーにアウトソースしてはいかがでしょうか。下記にも関連するサービスの情報を記載しておりますので、ぜひ参考にしてみてはいかがでしょうか。
- 【Active Directory の設定を見直すために診断サービスを利用したい】
- 【Active Directory に対する攻撃を専門として監視サービスを利用したい】
- 【Active Directory の設計、構築・導入、活用までをトータルでサポートしてほしい】