前回解説したように、メールやWeb経由で組織の内部に侵入した攻撃者は、端末を乗っ取るためにドメイン管理者アカウントを狙う。
まずは、最初にマルウエアを感染させた端末の認証情報(ユーザーIDとパスワードなど)を取得し、別の端末へのアクセスを試みる。
その端末でも認証情報を取得できれば、さらに別の端末へのアクセスと認証情報の取得を繰り返し、最終的にはドメイン管理者アカウントを奪取する。
管理者アカウントの奪取を防ぐには、認証情報を取り扱うドメインコントローラーのセキュリティを高めることが不可欠だ。前回説明したように、外部に公開しているシステムに比べ、セキュリティレベルが低い状態で運用されている場合がある。
だが、ドメインコントローラーのセキュリティを高めただけでは不十分だ。ドメインコントローラー以外の場所にも認証情報が保存されているためだ。攻撃者は、複数の手法を駆使して認証情報の取得を試みる。認証情報の主な保存場所は次の通り。以下、順番に解説する。
- レジストリ
- ファイル
- アプリケーション
- メモリー
総当たり攻撃でパスワード解読
設定にもよるが、端末のレジストリには、その端末にログオンしたことのあるドメインユーザーの認証情報が暗号化されて保存されている。暗号化されているので、ドメインでの認証にそのまま使用できない。だが、弱いパスワードが使用されている場合には、総当たり攻撃によって割り出せる。つまり、元のパスワードを取得される恐れがある。
ある端末から認証情報を取得できれば、その情報を使って別の端末にもログインしてパスワードの奪取を狙う。これを繰り返すことで、ドメイン管理者がログインしたことのある端末を探し出し、その認証情報を盗み出す(図2-1)。
図2-1●レジストリに保存された認証情報を盗み出す手口
[画像のクリックで拡大表示]
