国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2017年3月中旬、Active Directoryを狙ったサイバー攻撃の実態と対策を解説するドキュメントを公開した。Active Directoryを乗っ取る標的型攻撃が多発しているにもかかわらず、企業・組織の多くでは対策が取られていないためだ。
重要なのに守りが甘い
Active Directoryは、米マイクロソフトがWindowsサーバーで提供するディレクトリーサービス。企業・組織のコンピュータやユーザーを集中的に管理できる仕組みで、多くの企業・組織が導入している。
一方で、攻撃者にも狙われやすい。Active Directoryのドメイン管理者権限を取得すれば、そのドメイン配下のコンピュータに自由にアクセスできるなど、ほぼ何でもできてしまうからだ。
しかも、Active Directoryのサーバー(ドメインコントローラー)は企業内に置かれているため、インターネットに公開しているWebサーバーなどとは異なり、管理者が油断しがちだ。Active Directoryの脆弱性が放置されていたり、ログが十分に管理されていなかったりするため、攻撃を受けやすい、あるいは受けても検知できない状況にある。
JPCERT/CCが実施したアンケートでは、「Active Directoryのサーバーのログはあまり見ていないと答えた組織が多かった。また、パッチを適用するとサーバーを再起動しなくてはならなくなるので、適用したくない管理者は多い」(JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリストの松田 亘氏)という。