AD環境を脅威から守れ 6大脅威と企業が今すぐできる対応策をMicrosoftが公開：攻撃者にとって格好の標的

Microsoftは、Active Directory Domain Servicesを標的とした代表的な6つの攻撃手法とその対策を公開した。

[TechTargetジャパン]

　Microsoftは2025年12月9日（米国時間）、「Active Directory Domain Services」（AD DS）（注1）を狙った6つの重大な脅威と、具体的な対策を公開した。これにより、企業システムで重要な役割を果たすAD環境のセキュリティ確保に向けた指針が明確になった。

※注1：「Active Directory」（AD）は、MicrosoftのサーバOS「Windows Server」で提供されるディレクトリサービス群の総称であり、ユーザーや端末、権限を一元的に管理するための基盤だ。その中核となるAD DSは、Windows Serverで動作するドメイン管理・認証基盤で、ユーザー認証、ディレクトリ情報の管理、グループポリシー配布などを担う。

6つの重大な脅威と対策を紹介

併せて読みたいお薦め記事

Active Directoryの構造とサービス

• いまさら聞けない「Active Directory」の混乱しやすい“基本構造”を解説
• Active Directoryの第一歩「ADドメインサービスとは何か」を理解しよう

脅威1．パッチ未適用の脆弱性（Unpatched vulnerabilities）

　既知でありながら修正が施されていない脆弱（ぜいじゃく）性が存在すれば、攻撃者はその隙を突いてシステムに侵入したり、アクセス権限を昇格させたりする可能性がある。通信会社Verizon Communicationsの法人事業部Verizon Businessが発表した2025年版の「Data Breach Investigations Report」（以下、DBIR）によると、2023年11月〜2024年10月に発生したデータ侵害のうち、既知の脆弱性を悪用した侵入によって発生した事象は全体の約20%で、2022年11月〜2023年10月と比べて34%増加したという。これらの攻撃はAD DSそのものの脆弱性ではなく、放置されたOSや構成要素の脆弱性を足がかりとしていた。こうした攻撃に対しては、タイムリーなパッチの適用が不可欠だ。

脆弱性を検知するには

• 「Microsoft Defender Vulnerability Management」（MDVM）を使用し、脆弱性をリアルタイムで可視化できるようにする。
  • MDVMは、エンドポイントセキュリティ機能「Microsoft Defender for Endpoint」（MDE）に搭載されている脆弱性管理機能
• MDEを利用してエンドポイントの状況を検証する。
• システム管理ツール「System Center Configuration Manager」（SCCM）を利用してパッチの適用状態を可視化、配信を管理する。

お薦めの対策

• パッチ管理システム「Azure Update Manager」やSCCMを使ってパッチ適用を自動化、強制する。
• MDVMを活用し、未適用パッチの優先順位付けを進め、攻撃を受ける恐れが高い脆弱性やITインフラから順にパッチ適用を進める。
• ドメインコントローラー（認証サーバ）にWindows Server 2025用の構成管理機能「OSConfig」を使ってセキュリティベースラインを適用する。

脅威2．認証リレー攻撃（Authentication relay attacks）

　正規のユーザーと正規のWebサイトとの間に攻撃者が割り込む「AiTM」（中間者攻撃）の1つに、認証リレー攻撃がある。認証リレー攻撃では、攻撃者が「Windows NT LAN Manager」（NTLM）や「Kerberos」といったADの主要な認証方式の弱点を突き、正規のログイン要求を転送することでユーザーになりすまし、不正にアクセスする。

攻撃を検知するには

• AD向けのセキュリティ監視ツール「Microsoft Defender for Identity」を使って、以下を検知できるようにする。
  • 不審な認証パターン
  • ラテラルムーブメント（別のネットワークセグメントへ不正アクセスしながら横方向に移動する行為）
  • NTLMを使って不正にログオンを試みる「NTLMリレー試行」
• Windows上のイベントログを監視し、失敗したログオンや異常な認証試行を確認する。

お薦めの対策

• 可能な限りNTLMの利用を廃止、無効化する。
• SMB署名およびLDAPチャネルバインドを強制する。
• 認証の保護強化機能「Extended Protection for Authentication」（EPA）を使うようにする。
• ドメインコントローラーのアクセスには、ユーザーに必要最低限の権限のみを与える「最小特権の原則」を徹底し、MFAを使ったログインを必須とする。その状態を、「Privileged Identity Management」（PIM）を使って自動で制御する。PIMは、MicrosoftのクラウドID・アクセス管理システム「Microsoft Entra ID」の機能の1つで、特権アカウントの利用を制御、監視するための権限管理を担う。

脅威3．Kerberoasting

　Kerberoastingは、Kerberos認証の仕様を悪用する攻撃手法だ。サービスアカウントを標的にしてサービスチケットを要求し、そのチケットをオフラインで総当たり攻撃してパスワードを割り出す。正規のKerberos認証を利用するため検知しにくいのが特徴だ。サービスアカウントが弱いパスワードや期限を設定していないパスワードを使う企業もあり、攻撃を実行しやすい。

攻撃を検知するには

• 「Microsoft Defender XDR」のイベントで、通常とは異なるKerberosの暗号化タイプが使用されたチケット要求がないか確認する。
• Microsoft Defender for Identityで不審なチケット要求を検知できるようにする。

お薦めの対策

• サービスアカウントをグループ管理サービスアカウント（Group Managed Service Account：gMSA）へ移行する。
• 暗号アルゴリズム「Rivest Cipher 4」(RC4）を無効化する（Windows Server 2025ではデフォルトで無効になっている）。
• 未使用のService Principal Name（SPN、Kerberos認証でサーバのサービスを一意に識別するためのサービス名）を定期的に監査、削除する。
• Windows Server 2025のセキュリティベースラインを適用する。

脅威4．過剰な権限の付与やアカウントの構成ミス（Excessive privileges & account misconfigurations）

　レガシーな運用によって本来不要な権限が与えられたアカウントが温存されていると、攻撃者がシステムに侵入した際に被害範囲が広がる恐れがある。Microsoftは、PIMや最小権限の原則を用いたアクセス制御の見直しを推奨している。

設定の誤りを検知するには

• Microsoft Defender for Identityを使って危険な設定を特定し、ラテラルムーブメントを可視化できるようにする。
• Active Directory管理センターでグループメンバーシップや委任権限を点検する。

お薦めの対策

• 最小権限の原則を徹底する。
• 管理者ユーザーには、一時的に特権や必要な権限を付与する「ジャストインタイムアクセス」とMFAの使用を適用。
• Microsoftが推奨する「Tiered Administrationモデル」を導入する。同モデルは、ADやサーバ管理において、特権アカウントと管理対象を複数のTierに分離し、権限のラテラルムーブメントや特権の不正な獲得を防ぐためのものだ。
• 旧来から付与され続けている権限を精査し、不要な設定を削除する。

脅威5．無制限な委任設定（Unconstrained Delegation）

　無制限な委任設定は、ADのKerberos認証において任意のサービスが任意のユーザーになりすましてネットワーク上の他のサービスへアクセスすることを許可する設定だ。攻撃者はユーザーの「Ticket Granting Ticket」（TGT、Kerberos認証において、ユーザーが認証済みであることを証明するためのチケット）を悪用し、ドメイン内の任意のサービスになりすますことが可能になる。

設定の誤りを検知するには

• Windows OSのコマンド実行ツールおよびスクリプト（簡易プログラム）言語「PowerShell」で無制限な委任設定が有効なシステムを特定する。
• Microsoft Defender for Identityで危険な設定を検出できるようにする。

お薦めの対策

• エンドポイントに「Windows Defender Credential Guard」（認証情報をOS内で隔離し、盗難や不正利用を防ぐ仕組み）を導入する。
• 高リスクアカウントを「Protected Users」グループ（ドメイン管理者といった特権アカウントを認証情報の盗難攻撃から守るために設計された、特別なグループ）に追加し保護する。
• 特権アカウントの設定で“sensitive and cannot be delegated”（ADにおけるセキュリティ設定の1つ）にチェックを入れる。
• “Unconstrained Delegation”を無効化する。

脅威6．ゴールデンチケット攻撃（Golden Ticket attack）

　ゴールデンチケット攻撃は、攻撃者が盗み取ったKRBTGTアカウント（Kerberos Ticket Granting Ticket、KerberosのTGTを扱うアカウント）の秘密鍵を使ってKerberosチケットを偽造し、システム内で無制限にアクセスできるようにするための攻撃手法だ。

　この攻撃が特に危険なのは、通常の認証を完全に回避し、長期間にわたりADドメインへアクセスできてしまう点だ。

攻撃を検知するには

• Defender for Identityを使って以下を検知できるようにする。
  • ゴールデンチケットの使用
  • DCSync攻撃（攻撃者がPCやサーバのメモリやストレージから認証情報を抜き取るクレデンシャルダンピング攻撃の一種）
  • DCShadow攻撃（AD環境で攻撃者がドメインコントローラーになりすまし、機能を悪用して不正な変更を加える攻撃手法）
  • 不審なKerberos活動
• 全てのドメインコントローラーでKerberos監査ログを有効化する。

お薦めの対策

• KRBTGTアカウントのパスワードを180日ごとに変更する。
• ドメインコントローラーで、ユーザー認証・アクセス制御・セキュリティポリシーの適用などを担う「ローカルセキュリティ認証」（LSA：Local Security Authority）を保護するために、“LSA Protection”を有効にする。
• DCSync（ドメインコントローラー同士がADの情報をレプリケーションする際に使う仕組み）を実行できる権限を持つ非管理者アカウントを削除する。
• Tiered Administrationモデルと最小権限の原則を徹底し、レプリケーション権限や管理アクセスを制限する。