Active Directoryの欠陥 Microsoft推奨設定でも危険な過剰権限:セキュリティニュースアラート
ShelltrailはMicrosoftのガイドラインに従って設定したドメイン参加アカウントが依然として過剰権限を保持し、LAPS情報漏えいやRBCD攻撃などの脆弱性を招く危険があると指摘した。権限委譲と所有権設定の見直しが不可欠としている。
Shelltrailは2025年10月9日(現地時間)、「Active Directory」(AD)のドメイン参加アカウント(Domain Join account)に関する調査結果を発表した。
システム構築や運用時に頻繁に利用されるドメイン参加アカウントは、Microsoftの現行ガイドラインに従って設定していても、過剰なアクセス権を持つことにより深刻な脆弱(ぜいじゃく)性を生む可能性があるという。
ドメイン参加アカウントに潜む構造的欠陥 推奨される対策とは?
Shelltrailの調査によれば、ドメイン参加アカウントは新しい端末をADに参加させるために使用される一般的なユーザーアカウントであり、通常はコンピュータアカウントの作成や再参加する権限が与えられている。しかし、このアカウントの資格情報は構築プロセス中に平文で扱われることが多く、PXEブート、unattend.xmlファイル、MDT設定ファイル、スクリプトなどから容易に取得される危険がある。
この露出の高さに加えて、ADのアクセス制御エントリー(ACE)の仕組みにより、該当アカウントが作成するコンピュータオブジェクトの所有権が適切に管理されない場合、Legacy-LAPS(ms-Mcs-AdmPwd属性)の読み取り、Resource-Based Constrained Delegation(RBCD)、Shadow Credentialsといった高リスクな攻撃手法を実行可能にする。
Shelltrailはこうしたリスクを低減するために、複数の層で制御を施す必要があると指摘する。まず、低権限ユーザーによるコンピュータアカウント作成を禁止し、Domain Adminsグループが作成したコンピュータオブジェクトのみを有効とする設定を推奨している。Legacy-LAPS属性およびRBCD属性に対しアクセス拒否エントリー(Deny ACE)を付与し、コンピュータアカウントの作成および削除権限を特定の組織単位(OU)に限定することが有効だという。
Microsoftが提示するドメイン参加権限のガイドライン(Scenario 1およびScenario 2)を実際に検証し、特定の構成では依然として過剰な権限が残ることを実証している。「Read all properties(全てのプロパティの読み取り)」権限を保持することで、ドメイン参加アカウントがms-Mcs-AdmPwd属性を読み取れる状態になることが確認された。これにより、LAPS(Local Administrator Password Solution)の情報漏えいが発生するおそれがある。Shelltrailはこの問題を回避するため、該当権限を削除した上で、個別のオブジェクトに対しDeny ACEを適用する方法を提案している。
加えてRBCD攻撃の成立要因も分析された。調査の結果、Microsoftが推奨する「Write Account Restrictions」権限がmsDS-AllowedToActOnBehalfOfOtherIdentity属性への書き込みを可能にしてしまう構造になっていることが確認された。これについてもDeny ACEを設定することでリスクを排除できるという。
他方で、Reset password(パスワードのリセット)権限に関しては、機器の再インストールを維持するために必要なものであり、無効化は推奨されていない。ただし、この権限も複数サイト構成のAD環境において、レプリケーション遅延を利用した攻撃の可能性が残ることが示されている。
研究チームは、ドメイン参加アカウントがリセット権限を使ってパスワードを変更した際、レプリケーションの遅延を突いて旧パスワードを取得し、Active Directory Certificate Services(AD CS)を経由して認証トークンを生成できることを実証した。これにより、攻撃者が一時的に旧パスワードを利用してドメイン信頼を再確立し、機器を制御下に置くことが可能となる。
Shelltrailはこうしたリスクを踏まえ、次の対策を推奨している。
- 一般ユーザーによるコンピュータアカウント作成を無効化する
- 全てのコンピュータオブジェクトの所有者をDomain Adminsに変更する
- ドメイン参加アカウントの作成および削除権限を特定のOUに限定する
- Legacy-LAPSおよびRBCDへのアクセス拒否設定を定期的に適用する
- 必要に応じてReset password権限を制限するが、その場合は再参加プロセスに影響が出ることを理解する
同調査ではMicrosoftの推奨設定のみではドメイン参加アカウントが依然として過剰権限を保持していると結論付けている。攻撃者がこのアカウントを入手した場合、複数のマシンを横断的に掌握できる恐れがあるため、組織は権限委譲の構造と所有権設定を再点検する必要があると警告している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アスクル、ランサムウェア感染の続報を公表 物流システムに深刻な影響
アスクルはランサムウェア感染により物流システムが停止し、受注・出荷業務を中断している。外部専門家を含む約100人規模で原因調査と復旧作業を進めている。個人情報流出は確認されていないが、引き続き調査が継続されている。
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
NISTが禁じたパスワード慣行、いまだ多数派 要件に逆行する企業の現実
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。
ホワイトハッカーが感心したフィッシング攻撃とは? 最新動向と対策を知る【動画あり】
フィッシングの進化はとどまることを知りません。最近は生成AIの普及によってより高度な攻撃も登場しています。『攻撃者の目』の第5回はフィッシングの最新傾向やホワイトハッカーが感心した攻撃手法、根本的な対策を考えます。