Active Directory のリスク数値化モデル

　CODE BLUE 2023 の開催が迫っている。今年の開期は 11月 8 日 (水) から 9 日 (木) までで、フィジカル開催のみ。当日券よりも 3 万円安い通常チケットの販売は 11 月 2 日 (木) 23:59 まで。

　昨年開催された CODE BLUE 2022 の講演の中から、特に興味深かったセッションを厳選し、蔵出しでレポート記事をお届けする。

--

　2022 年開催の CODE BLUE にて Active Directory のリスクを数値化する講演が行われた。考案し発表したのは台湾の txOne Network の Mars Cheng 氏と Dexter Chen 氏。両名とも同社の PSIRT と脅威分析の専門家として活動しているセキュリティエンジニアだ。

● Active Directory は攻撃者の投資対効果莫大

　Active Directory（AD）は LDAP をキーテクノロジーとしたコンピュータリソースの統合管理システムだ。ほかにもマイクロソフト版の Kerberos や DNS といった機構を利用して、単なるリソース管理のほかに、ID 管理、認証管理などのセキュリティ機能も担う。多くの企業が、メールから業務システムなど内部サービスのシングルサインオン（SSO）の実現にも活用している。

　ある調査では、回答の 63 ％が Azure Active Directory をすでに導入しており、検討中や導入予定ありを合わせると 95 ％。「導入しない」「利用を中止した」という層はわずか 5 ％だったという。現在のエンタープライズ分野において不可欠なコンポーネントといってよい。

　AD には、「ドメインサービス」「ID 連携（Federation）」「PKI 証明書」「権限管理」という 4 つのコア機能がある。それぞれの重要性は IT 担当者もセキュリティ担当者も十分認識している。それぞれの脅威や脆弱性の問題も含めてだ。

　それは攻撃者にとっても同じことだ。攻撃者は、企業システムのあらゆるサービスにかかわる AD は、非常に魅力的な攻撃対象となる。

●ドメインサービスのリスクを数値化できないか

　例えば、RaaS（Ransomeware as a Service）プラットフォームを活用して荒稼ぎをした「LockBit2.0」は、標的システムの暗号化を行いながら、AD のドメインコントローラ（DC）を検知し、さらに管理者アカウントがあれば独自のグループポリシー（GPO）を生成する。その後、Defender を無効化しドメイン内の他のサーバーやシステムを侵害していく。

　彼らが目を付けたのはドメインサービスにかかわる脅威だ。AD の認証や PKI に関する研究や論文もあるが、ドメイン管理者アカウントに関する攻撃はインパクトが大きいからだ。そして AD やドメイン管理にかかわる部分は、設定が複雑でミスや不適切なものが多い。スコープが広く発見も難しい。結果として、対策や脅威の優先度の見極めが難しくなり、緩和策もわからない。

　この問題に対応するため、AD のドメインサービスに関するリスクを数値化できないかという着想が生まれた。