今回は、Active Directoryを狙う標的型攻撃から組織を守る方法について考えよう。攻撃の手口が複数あるように、対策方法も複数ある。その中から、特に有効だと考えられる対策を紹介する。

アカウントの管理が重要

 攻撃者が狙うのは端末やドメインの管理者アカウントなので、適切なアカウント管理が有効な対策の一つになる。

 具体的には、管理者アカウントを定期的に棚卸しして、使われていないアカウントは削除あるいは無効にする。使用していない管理者アカウントは乗っ取られても気が付きにくいし、管理がずさんになることが多いためだ。

 実際JPCERT/CCでは、使っていない管理者アカウントを攻撃者に取得され、悪用されたケースを複数確認している。

 パスワードポリシーを厳格にすることも検討すべきだろう。例えば、文字数や文字種類が少ない弱いパスワードは、システム上設定できないようにする。

 前回解説したように、暗号化された管理者アカウントのパスワードを解読する際に、攻撃者は総当たり攻撃を実施することがある。強固なパスワードを設定しておけば、解読される危険性を抑えられる。

 重要な作業については、複数の管理者の承認がなければ実施できないようにする方法もある。こうしておけば、1人の認証情報が漏洩した場合でも作業を実施できないので影響を緩和できる。

 例えば、パスワードを分割して複数人で管理する方法が考えられる。ある管理者にはパスワードを知らせ、別の管理者にはハードウエアトークンを渡して、それらがそろわなければ作業を実施できないようにする手もあるだろう。