Active Directoryドメインへの新たな攻撃手法が見つかる Microsoftは対処計画なし：セキュリティニュースアラート

AkamaiはDHCPサーバを使ったActive Directoryドメインへの新しい攻撃手法を発見した。Microsoftはこの問題に対処する計画がないため、自らの対応が必要となる。

[後藤大地，有限会社オングス]

　Akamai Technologies（以下、Akamai）は2023年12月21日（現地時間）、「Microsoft Active Directory」（以下、Active Directory）ドメインに対する新しいサイバー攻撃セットについて報告した。

AkamaiはActive Directoryドメインに対する新しいサイバー攻撃セットについて報告した（出典：AkamaiのWebサイト）

Active Directoryを狙う攻撃　Microsoftは“対処する計画なし”

　この攻撃は認証情報を必要とせずに重要なDNSレコードを偽造し、最終的に資格情報の窃取やActive Directoryドメインを侵害できるとされている。

　このサイバー攻撃に使われるのは、DHCPサーバがクライアントに代わってDNSレコードを動的に更新する「DHCP DNS Dynamic Updates」と呼ばれる機能で、これを悪用することで認証されていない状態で任意のDNSレコードを偽造できる。

　Akamaiは、このサイバー攻撃を実行するためのより詳細な技術情報を公開した。同社はDHCP Discover内のブロードキャストの送信やサーバからのOffer応答の検査などを実施し、その設定を学習すること、どのレコードが偽造可能かを調べること、Name Protectionのステータスを推測する方法、DHCP DNS Dynamic Updates設定の推定方法、複数のDNSレコードを偽造する際の問題とその解決方法などを説明している。

　Akamaiはこの他、Pythonで開発されたツール「DDSpoof」を使ってこのサイバー攻撃を実行する方法を取り上げている。DHCPサーバの列挙やカスタムDHCP DNSコマンドの実行、偽造対象の特定などができる他、幾つかの攻撃シナリオとともにツールの利用方法も解説されている。

　この新しい攻撃セットについて、Microsoftは「対処する計画はない」としている。AkamaiはDHCP DNS Dynamic Updatesを利用するこの手法が非常に強力であるとし、リスクを特定して緩和を実施するためにツールを使うことを推奨している。