国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2017年3月中旬、Active Directoryを狙ったサイバー攻撃の実態と対策を解説するドキュメントを公開した。Active Directoryを乗っ取る標的型攻撃が多発しているにもかかわらず、企業・組織の多くでは対策が取られていないためだ。

重要なのに守りが甘い

 Active Directoryは、米マイクロソフトがWindowsサーバーで提供するディレクトリーサービス。企業・組織のコンピュータやユーザーを集中的に管理できる仕組みで、多くの企業・組織が導入している。

Active Directoryの概要
(出所:JPCERT/CC)
[画像のクリックで拡大表示]

 一方で、攻撃者にも狙われやすい。Active Directoryのドメイン管理者権限を取得すれば、そのドメイン配下のコンピュータに自由にアクセスできるなど、ほぼ何でもできてしまうからだ。

 しかも、Active Directoryのサーバー(ドメインコントローラー)は企業内に置かれているため、インターネットに公開しているWebサーバーなどとは異なり、管理者が油断しがちだ。Active Directoryの脆弱性が放置されていたり、ログが十分に管理されていなかったりするため、攻撃を受けやすい、あるいは受けても検知できない状況にある。

 JPCERT/CCが実施したアンケートでは、「Active Directoryのサーバーのログはあまり見ていないと答えた組織が多かった。また、パッチを適用するとサーバーを再起動しなくてはならなくなるので、適用したくない管理者は多い」(JPCERT/CC 早期警戒グループ 情報分析ライン 情報セキュリティアナリストの松田 亘氏)という。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら