なぜ従来のActive Directoryバックアップは「いざというとき」に失敗するのか：「CrowdStrike」障害の教訓

サイバー攻撃や人為的ミスで「Active Directory」（AD）がダウンすると、ビジネス全体が停止しかねない。従来の復旧手法が抱える問題と、再感染リスクを克服する復旧手法を解説する。

[TechTargetジャパン]

　サイバー攻撃やシステム障害によって、MicrosoftのID・アクセス管理ツール「Active Directory」（AD）がダウンした場合、それは単なるIT部門のトラブルではなく、企業のビジネス全体の停止を意味する。ADは社内アプリケーションやクラウドのコンピューティングリソース、シングルサインオン（SSO）など、企業の根幹を支える認証システムを担っているからだ。ADの停止は、財務的損失や企業としての評判低下を招き、医療機関においては患者の安全をも脅かす事態に発展する。

　ADのフォレスト（管理単位）の復旧が必要になるシナリオは多岐にわたる。ランサムウェア（身代金要求型マルウェア）攻撃や、データを完全に消去、破壊する「ワイパー攻撃」によるデータ破損の他、不適切なスクリプト実行に伴うスキーマ（データ構造の定義）の破損といった人為的ミスも要因になる。セキュリティベンダーCrowdStrikeの障害事例のように、サードパーティー製ソフトウェアがドメインコントローラー（認証処理を担う中核サーバ）に影響を与えるケースもある。

　このような致命的な障害に対し、企業はOS標準のバックアップ機能や、一般的なエンタープライズ向けのバックアップツールに頼らざるを得ないのが現状だ。しかしこれらはADの復旧に特化して設計されたものではないため、きめ細かな復元ができず、専門的な知識と膨大な手作業を要求される。

　従来のバックアップ手法を用いたADの復旧作業には、さらなる落とし穴が存在する。いざというときに復旧計画が失敗に終わる根本的な理由と、そのリスクを排除するアプローチに迫る。

復旧直後の「再感染リスク」をどう防ぐ？

併せて読みたいお薦め記事

ADをどう保護するか

• AD環境を脅威から守れ　6大脅威と企業が今すぐできる対応策をMicrosoftが公開
• Active Directoryの「特権奪取」に気づけるか？　JPCERT/CC直伝の監査術

　従来のバックアップ手法を用いたADフォレストの復旧が、いざという場面で機能しない理由は大きく2つある。

　1つ目は、復旧プロセスの極端な複雑さだ。ADフォレストを完全に復旧させるためには、ドメイン（デバイスやエンドユーザーの管理範囲）ごとに、以下の手順を正確に踏む必要がある。

1. 適切なドメインコントローラーのバックアップを探し出す
2. 新しいマシンにADをインストールする
3. データをリストアする
4. ドメインコントローラーを隔離されたネットワークに置く
5. 設定を再構成する
6. マシンを再起動する

　これらは単なるファイルの復元とは次元が異なり、専用のツールなしに手動で実行することは極めて困難だ。この複雑さ故に、大半の企業は隔離されたシステム構成での完全なフォレスト復旧テストを実施できておらず、本番環境での復旧は「完全復旧か全停止か」のぶっつけ本番となってしまう。その結果、欠落したドメインコントローラーやDNS（名前解決システム）の障害、レプリケーションの切断といったインフラの不整合によって、復旧プロセスが連鎖的に崩壊する。

　2つ目は、バックアップデータを通じたマルウェアの再感染リスクだ。従来のバックアップはOSやハードウェアの依存関係を含んでいるため、システム全体をリストアすると、そこに潜んでいたマルウェアも同時に復元されてしまう。攻撃者はランサムウェアを展開する過程で、永続的なアクセスを維持するために、「SIDHistory」「AdminSDHolder」といったADの属性値を悪用してバックドアを仕込んだり、ドメインコントローラーを偽造する「DCShadow」攻撃やゴールデンチケット（あらゆるアクセスを可能にする偽造の特権チケット）などを駆使する。これらの脅威は従来のリカバリー手法では排除できず、管理者が多大な労力をかけて復旧した直後に、再び攻撃者にシステム全体を乗っ取られる事態を引き起こす。

　こうした課題を解決する手段として、年次カンファレンス「Microsoft Ignite 2025」のセッション「Active directory disaster recovery: What works, what fails」において解説されたのが、ソフトウェアベンダーCayosoftが提供するリカバリー方法だ。このアプローチは、オンプレミスシステム内のADデータをパブリッククラウドに複製し、そこで隔離された安全な予備システム「スタンバイフォレスト」を構築、待機させておくものだ。

　この手法の利点は、OSやハードウェアの依存関係を完全に切り離せる点にある。マルウェアが存在しない、クリーンでパッチ（修正プログラム）適用済みの、パブリッククラウド内の仮想マシンテンプレートに、ADの復旧に必要不可欠なコンポーネントのみを抽出してリストアする。これによって、脆弱（ぜいじゃく）なデバイスドライバやOSに潜む脅威を排除し、ランサムウェアやルートキット（侵入後にデバイスを遠隔操作するためのツール群）が再びシステムに侵入するリスクを根本から断ち切ることができる。

　スタンバイフォレストは複雑な復旧プロセスの自動化と定期的な整合性テストを可能にする。スケジュールに基づいて、パブリッククラウドに自動でクリーンなADフォレストが再構築され、オブジェクトの整合性や機能の検証が実行される。復旧のプロセスには、単なるデータのリストアだけでなく、「krbtgt」アカウント（ADの認証チケットを発行する中核アカウント）のパスワードリセットによるゴールデンチケットの無効化や、古いドメインコントローラー資格情報のブロックといった、再感染を防ぐための高度なセキュリティ措置が組み込まれる。

　重要なのは、テストが完了したスタンバイフォレストはパワーオフ状態にして保持されることだ。これによって、ネットワークから物理的かつ論理的に隔離され、本番環境でランサムウェアの感染が拡大した場合でも、スタンバイフォレストのデータが暗号化されるのを防ぐことができる。同時に、パブリッククラウドのコンピューティングリソースを常時稼働させないため、運用費用の大幅な節約にもつながる。

　実際に大規模な障害が発生した際は、パワーオフ状態のドメインコントローラーを起動させ、基本的なネットワーク設定を変更するだけでよい。企業全体の認証システムを安全なスタンバイフォレストへと即座に切り替えることが可能になる。

　サイバー攻撃が高度化し、事業継続においてADがますます重要になる中、単なるデータのバックアップだけでは企業を守り切ることはできない。OSから切り離された、パブリッククラウド内クリーンな仮想マシンを活用し、常に検証済みのスタンバイフォレストを確保するプローチは、万が一の事態において確実かつ迅速にビジネスを再開するための強力な手段になる。