Active Directoryの心臓部を狙うNTDS.dit窃取攻撃の全貌とは？：セキュリティニュースアラート

Trellixは、Active Directoryの核であるNTDS.ditを窃取する攻撃について調査結果を公開した。攻撃者は正規のリモート管理ツールを悪用し、認証情報を奪取してドメイン掌握を狙うという。

[ITmedia エンタープライズ編集部]

　Trellixは2026年2月2日（現地時間）、「Windows」ドメイン環境の中核である「Active Directory」を標的とした攻撃の分析結果を公表した。認証基盤の要となるデータベースファイル「NTDS.dit」を攻撃者が窃取し、外部に持ち出そうとした一連の流れを整理している。

　Active Directoryは、組織内の認証と認可を一元的に管理する仕組みであり、NTDS.ditには利用者アカウントやポリシー設定、システム情報、全ドメインアカウントのパスワードハッシュが格納されている。管理者権限を含む資格情報が集約されている点から、攻撃者にとって価値の高い標的とされている。

正規ツールを悪用したAD認証基盤侵害の実態とは？

　今回取り上げられた事例においては、攻撃者が管理者権限やシステム権限を取得した後、Windowsに標準搭載される「vssadmin」を使ってボリュームシャドーコピーを作成し、ファイルロックを回避した。これによってNTDS.ditが取得され、「esentutl」による修復処理をへた後、「SecretsDump」や「Mimikatz」などのツールで資格情報が抽出される状況が想定される。

　攻撃の過程ではリモート管理ツール「PsExec」が横展開に利用され、複数のシステム間を移動しつつ操作が進められたと説明されている。NTDS.ditとSYSTEMレジストリハイブを組み合わせることで、攻撃者はオフラインでパスワードハッシュを復号し、ドメイン内の任意のアカウントになりすますことが可能となる。

　Trellixは、攻撃が単なる情報漏えいだけでなく、ドメイン全体の認証基盤が掌握される事態につながり得る点を指摘している。分析ではエンドポイントやネットワーク、管理イベントといった複数のテレメトリーを関連付けることで、初期侵入から資格情報の窃取、持ち出しの兆候までを一連の流れとして把握できると述べている。

　NTDS.ditの不正取得が確認された場合に取るべき対応として、影響を受けたシステムの隔離、侵害されたアカウントの無効化、特権アカウントの資格情報更新、ログの精査、PsExecの利用状況確認などが例示されている。併せて、管理共有の制限、不要なSMB通信の抑制、ボリュームシャドーコピー操作の監視強化といった環境面での対策にも触れている。

　Trellixはこの分析を通じ、Active Directoryを狙う攻撃が正規機能を悪用する形で進行する場合がある点を示し、複数の観測情報を統合した検知と迅速な対処の必要性を示唆している。