2026年6月19日

Windows環境で広く使われるActive Directory（AD）は一元管理に有用な一方、侵入後の被害拡大に悪用されるリスクがあります。本記事では、ADに対する主な脅威と侵入前提の対策の重要性に加え、ハイブリッド環境におけるADとEntra ID連携時のリスクやログ分析のポイントについて解説します。

目次

Active Directoryとは

Active Directory(AD)とは、マイクロソフト社が提供するWindowsコンピュータを集中管理するサービスです。ADでは、ドメインと呼ばれる単位でコンピュータやユーザを管理します。インターネットドメインと区別するために、以下、ADドメインと記載します。ADでは、ドメインコントローラと呼ばれるサーバがユーザやコンピュータの集中管理を行います。ADの管理者はドメイン管理者と呼ばれ、ユーザ作成、権限設定、ポリシーの管理等、ADドメイン配下の全てのリソースに対して強力な権限を持ちます。
AD環境では、ユーザやコンピュータの認証もドメインコントローラで一元的に行われます。そのため、認証済みのユーザはADドメイン配下のファイルサーバ等のサービスに対して、再認証を行うことなくアクセスすることが可能です。ADでは、主にKerberos認証が使用されます。Kerberos認証については「Kerberos認証とは」で説明します。

Active Directoryが狙われる

Active Directory(AD)は一元管理に便利な反面、攻撃者にも狙われる傾向があります。図2は標的型攻撃におけるActive Directoryに対する攻撃の流れです。

組織ネットワークに侵入した攻撃者は、2のステップで効率的な侵害を目的として、AD環境における最高の特権であるドメイン管理者権限の窃取を試みる傾向があります。

2020年付近から現在までの、ADに対する攻撃手法の変遷を見ていきましょう。
2020-2021年には、Zerologon(CVE-2020-1472)や、PrintNightmare(CVE-2021-34527)など、遠隔から管理者権限の窃取が可能となる脅威度の高いWindowsの脆弱性がいくつか公開され、話題になりました。また、2021年以降はPetitPotamなどが話題になり、最近はパッチ未適用の脆弱性に加えて、Active Directory 証明書サービス(AD CS)のようなADの関連機能や弱い認証方式など構成上の弱点もAD侵害の突破口として悪用されやすくなっています。

Pass-the-HashやGolden TicketなどのWindowsの仕様を悪用する攻撃は昔から継続的に観測されています。Pass-the-HashやGolden Ticketについては「ドメイン管理者権限はこうやって窃取される」「長期的なドメイン管理者権限を窃取するための「Golden Ticket」とは」で説明します。
Windows Server は、各バージョンでセキュリティ機能が強化され、認証情報の窃取や権限昇格を防ぐための仕組みが拡充されていますが、メモリ保護などのセキュリティ機能を有効にしていない状態では、依然として仕様を悪用する攻撃を受ける可能性があります。Windows Server 2025で新たに追加された実装を悪用するBadSuccessor[1]という攻撃手法も話題になりました。

さらに近年では、MFA（多要素認証）を回避する手法も問題となっています。MFA疲労攻撃では、攻撃者が大量の認証要求を送信し、利用者が誤って承認することを狙います。これにより、MFAを有効化していても侵入を防げないケースが発生しています。

ハイブリッド環境では、これらの攻撃の影響がクラウド側にも波及します。構成によっては、オンプレミスADの侵害や認証基盤の悪用を起点として、同期やフェデレーション構成を通じてクラウドアカウントや権限が奪取される可能性もあります。
ハイブリッド環境については「ハイブリッド環境に対する実際のサイバー攻撃事例」でも詳しく紹介します。

ADに対する攻撃は継続的に発生しているため、古くから知られているものだけでなく、新しい技術の発展に伴って発生するものに対しても、攻撃手法を正しく知り、適切な検知、対策を行うことが重要であると言えます。また、脆弱性悪用に加え、仕様や構成の悪用、ソーシャルエンジニアリングなど多様なため、昨今のAD防御は「パッチ適用」だけでなく、適切な認証・権限設計、ADの関連機能の要塞化、ログ確認による早期検知などを組み合わせて行う必要があります。

Kerberos認証とは

Kerberos認証とはAD環境においてメインで用いられる認証方式で、2種類の認証チケットを使って認証を行います。

TGTもサービスチケットも、有効期限（標準では10時間）を持っており、一度発行されると期限内は各ユーザの端末に保存されて再利用されます。例えば、ファイル共有サービスを利用する際には、まずドメインコントローラによってファイル共有サービスを利用するためのサービスチケットが発行されます。その後は有効なチケットを持っているユーザは、ID・パスワードを再入力することなく、ファイルサーバのファイルへアクセスすることができるので大変便利です。
しかし一方で、攻撃者もこれらの仕様を悪用し、端末に保存されている認証チケットを窃取したり、不正な認証チケットを作って正規のユーザになりすましたりすることがあります。具体的な手法については、「ドメイン管理者権限はこうやって窃取される」で説明します。

ドメイン管理者権限はこうやって窃取される

では、攻撃者はどうやってドメイン管理者権限を窃取するのでしょうか。
ドメイン管理者権限を窃取する代表的な手法の例について説明します。

長期的なドメイン管理者権限を窃取するための「Golden Ticket」とは

攻撃者がドメイン管理者権限を窃取できた場合においても、当該アカウントのパスワードが変更されるなどの対策が取られると攻撃活動を継続できなくなる可能性があります。そこで、攻撃者はターゲットシステムへの長期的なアクセスを目的として、“Golden Ticket”と呼ばれる不正な認証チケットを作成する傾向があります。Golden Ticketを悪用する攻撃は、Pass-the-Ticket攻撃の一種です。

Golden Ticketとは、攻撃者が作成したTGTで、攻撃者は有効期限が長いTGTを作成し、正規のドメイン管理者に長期的になりすますことがあります。TGTは通常ドメインコントローラによって発行されますが、ドメイン管理者権限を窃取した攻撃者はTGTを作成するための情報を入手できるため、任意のアカウントのTGTを作成することが可能になります。
「Kerberos認証とは」を思い出してください。一度TGTが発行されると、有効期限内は再認証を行うことなく使用できます。そのため、Golden Ticketはなりすましたアカウントのパスワードが変更された後でも使用できます。攻撃者は有効期限を10年などの長い期間に設定することで長期的にアカウントの権限を窃取します。攻撃者がGolden Ticketを使って正規のアカウントになりすました場合、Golden Ticketを使用したアクセスと、正規ユーザのアクセスを見分けることは非常に困難です。図 5はGolden Ticketを悪用する攻撃の例です。

なお、Golden Ticketと類似した攻撃手法に、攻撃者が作成した長期的な有効期間を持つサービスチケットである”Silver Ticket”と呼ばれるものもあります。Silver Ticketを悪用すると任意のWindowsサービスを利用することができるため、Golden Ticketと同様に大きな脅威となります。本コラムでは詳しく説明しませんが、Silver Ticketの詳細が知りたい方はJPCERT/CCが公開しているレポート[3]をご参照ください。


次に、ハイブリッド環境に対するサイバー攻撃について紹介します。

ハイブリッド環境に対する実際のサイバー攻撃事例

2020年12月に公表されたSolarWinds Orion Platformのサプライチェーン攻撃は多数の組織が影響を受けましたが、フェデレーション構成を悪用するGolden SAMLと呼ばれる攻撃が確認されました。攻撃者はGolden SAMLを用いて組織のクラウドサービスにアクセスし、機密情報を窃取したり、攻撃者用の新規ユーザを作成したりしてアクセスを永続化しました。

この攻撃の流れを詳しく理解するために、次にハイブリッド環境の概要を説明します。

ハイブリッド環境の概要

ハイブリッド環境ではADとMicrosoft Entra IDを連携させることで、同一のユーザでオンプレミス・クラウド双方のサービスを利用できます。オンプレミスでの認証はドメインコントローラが担い、クラウドでの認証はMicrosoft Entra IDが担います。また、オンプレミス上のMicrosoft Entra Connectというアプリケーションを利用し、ドメインコントローラ上のユーザをMicrosoft Entra IDに同期します。オンプレミスとクラウドのシングルサインオンを実現する方式はいくつかあり、例としてActive Directoryフェデレーションサービス（以下、ADFS）を利用する方式があります。

ADFSを利用する場合、オンプレミスではKerberos、クラウドはSAMLという認証プロトコルを使用します。オンプレミスのユーザがMicrosoft 365にアクセスする際の認証の流れは以下のようになります。

オンプレミスのユーザがMicrosoft 365にアクセスする際の認証の流れ(1/2)

オンプレミスのユーザがMicrosoft 365にアクセスする際の認証の流れ(2/2)

ここではADFSを利用したシングルサインオンについて触れましたが、他にもパスワードハッシュ同期やパススルー認証といった方式があります。

ハイブリッド環境におけるサイバーセキュリティリスク

Active DirectoryもMicrosoft Entra IDもユーザやその他リソース、ポリシーを一元管理しているため、攻撃が成立した際の影響度が大きく、影響範囲も広いです。
ハイブリッド環境におけるセキュリティリスクの一例としてGolden SAML攻撃を紹介します。攻撃者はメールの添付ファイルなどでPCをマルウェアに感染させてオンプレミスネットワークに侵入し、不正なSAMLトークンであるGolden SAMLを作成します。そして、それを利用してService Ticket(ST)やOAuthトークンを払い出してもらい、オンプレミスのファイルサーバやクラウドサービスにアクセスし、機密情報を窃取します。

Golden SAMLについて詳しく説明します。Golden SAMLとは攻撃者が作成した不正なSAMLトークンですが、ADFSの署名鍵による正規の署名が付与されています。
ADFSの署名鍵と証明書を得た攻撃者は正規のユーザになりすますことができます。

次に、Golden SAMLを用いたサイバー攻撃例を紹介します。

Microsoftはセキュリティや管理性の向上を理由として、ADFSからパスワードハッシュ同期やパススルー認証等への移行を推奨しています。ただし、これらに移行した場合も、オンプレミスのADが存在する以上、Kerberosを悪用するSilver Ticket攻撃などへの対策は引き続き必要になります。

以上から、Active Directoryを狙った攻撃の仕組みと、その脅威の大きさ、検知の難しさについてお分かりいただけたと思います。ただし、早期に攻撃に気づくことができれば、被害を低減することが可能です。次からのセクションでは、攻撃を早期検知するためのログ調査について説明します。

Active Directoryのログ調査の重要性と手法

ADやMicrosoft Entra IDに対する攻撃では、正規のアカウントや認証プロトコルの仕様が悪用されることも多いため、一目で攻撃と判断できるログが残るケースは少なく、セキュリティ対策機器を導入したとしても、攻撃を検知・防御することが困難です。
そのため、定期的にドメインコントローラやMicrosoft Entra IDのログを分析し、平常運用時と異なる挙動がないかを、複数のイベントから総合的に確認することが大切です。

AD環境では、ADドメインに参加しているユーザアカウントやコンピュータの認証ログは、ドメインコントローラのイベントログ(セキュリティ)に一元的に記録されます。そのため、まずはドメインコントローラのイベントログを調査して、不審なコンピュータやアカウントの目途を付けた後に、不審と判断したコンピュータのイベントログを調査することで効果的な調査が期待できます。

表1は、不審な挙動の検知に有効なセキュリティイベントと調査観点の例です。

Microsoft Entra IDではユーザのサインインに関するログであるサインインログと、アクションに関するログである監査ログを標準で記録しています。

表2はMicrosoft社がリスクレベルを高としているサインインログ・監査ログの分析観点の例を示しています。例えば、業務時間外である深夜に普段はないサインイン成功イベントが記録されていないか、攻撃者が攻撃用のアカウントを作成してすぐに削除した痕跡がないかなどの分析観点があります。詳細はMicrosoft社のドキュメント[4]をご参照ください。

なお、ADのイベントログは、標準設定では20MB程度しか保存されないため、最大ログサイズやアーカイブの設定を行うことを推奨します。
Microsoft Entra IDのサインインログ・監査ログの保存期間は既定で30日間(Microsoft Entra ID P1 および P2 ライセンスの場合)のため、別途Microsoft Azure上のストレージなどにログを保存し、分析に必要なログが消去されないようにすることを推奨します。

また、効果的なログ調査を行うために、特権アカウントの棚卸、特権アカウントを使用する端末の棚卸を定期的に行うことをお勧めします。

まとめ

ドメインコントローラはイントラネット内に存在することや、Microsoft Entra IDはMicrosoft Azureのマネージドサービスであることから安心しがちですが、オンプレADやMicrosoft Entra IDが悪用されると影響度が大きく、影響範囲も広いです。また、Golden Ticket・Golden SAMLを用いた攻撃のような認証プロトコルの仕様を悪用したり、正規の署名を利用したりする攻撃をパッチ適用やセキュリティ対策機器のみで検知・防御することは困難です。そのため、ドメインコントローラ・ADFSサーバのセキュリティイベントログやMicrosoft Entra IDのサインインログ・監査ログを定期的に確認し、通常運用時のログと比較して何か不審なイベントが記録されていないか確認することが重要です。

参考文献

執筆者の他の記事を読む

執筆者の他の記事を読む