標的型攻撃でActive Directoryのドメイン管理者アカウントの認証情報が盗まれ、不正に使われているという。
JPCERT コーディネーションセンター(JPCERT/CC)は12月19日、Active Directoryのドメイン管理者アカウントが標的型サイバー攻撃などに使われる恐れがあるとして注意を呼び掛けた。国内組織での悪用も確認されている。
JPCERT/CCが確認したケースでは、攻撃者が組織の内部ネットワークへ侵入して長期間潜伏し、情報を盗み出すなどの不正行為を行う。攻撃者はActive Directoryのドメイン管理者アカウントの認証情報を盗み、アカウントのユーザーになりすまして横断的な攻撃活動をしているという。
Active Directoryを運用している組織では、人事異動や社員の退社などに伴って変更や削除などの措置が取られるものの、実際には未使用アカウントが放置されたり、権限が適切に割り当てられていなかったりするケースがある。その結果、管理者権限などを持つアカウントが多数存在し、このアカウントがサイバー攻撃者に悪用されてしまう。
なお、確認されたケースの多くは、ログの定期的な確認などによって検知できるものだったといい、JPCERT/CCはまずActive Directoryの認証ログやユーザー端末のイベントログ、ファイアウォールなどのネットワークのログを確認してほしいと呼び掛けている。
推奨される確認点と対策ポイントは次の通り。
Copyright © ITmedia, Inc. All Rights Reserved.