<p><meta/> {“style_prompt”: “CSIRT/セキュリティエンジニア向けの実務的かつ客観的な技術レポート。FUDを排し、具体的な検知ロジックと緩和策に焦点を当てる。Mermaidによる可視化と、攻撃・防御のコード対比を含むこと。参考文献は信頼できる公式ソースを優先する。”} </p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Active Directoryの心臓部『NTDS.dit』を狙うRMM悪用攻撃：検知回避の手法と防御の要諦</h1> <p>【脅威の概要と背景】 正規のリモート管理ツール（RMM）やOS標準機能を悪用し、ADの認証情報データベース「NTDS.dit」を窃取する攻撃が確認されています。特定のCVEに依存せず、VSS（ボリューム・シャドウ・コピー）等の正規機能を組み合わせることで、EDRの検知を回避しドメイン全体の認証情報掌握（Golden Ticket作成等）を狙うものです。</p> <p>【攻撃シナリオの可視化】 攻撃者は、侵入済みの端末からドメインコントローラ（DC）へ横展開し、標準ツールを用いてデータベースを複製します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者: 侵入済みの初期拠点"] -->|RDP/SMB等で横展開| B("ドメインコントローラ") B -->|正規RMMツールのインストール/悪用| C{"特権昇格・維持"} C -->|vssadmin / ntdsutil 等の実行| D["NTDS.dit のスナップショット作成"] D -->|SYSTEMレジストリと共にコピー| E["認証情報データベースの窃取"] E -->|オフライン解析| F["ドメイン管理者権限の完全掌握"] </pre></div> <p>【安全な実装と設定】 攻撃者は、<code>ntdsutil</code>や<code>vssadmin</code>といった、バックアップ目的の正規ツールを悪用します。これらを無制限に実行可能な状態は極めて危険です。</p> <h3 class="wp-block-heading">1. 誤用例：無制限の特権実行</h3> <p>管理者権限を持つユーザーであれば誰でも、以下のコマンドでデータベースを外部へ持ち出し可能な形式で抽出できてしまいます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 脆弱な運用：特権ユーザーによる無制限な実行が可能 # 攻撃者が実行するコマンド例 ntdsutil "ac i ntds" "ifm" "create full c:\temp\ntds_dump" q q </pre> </div> <h3 class="wp-block-heading">2. 安全な代替案：JEA（Just Enough Administration）による制限</h3> <p>ドメインコントローラ上での直接操作を制限し、特定の管理タスクのみを許可する「最小権限」の原則を適用します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 推奨設定：JEA（Just Enough Administration）構成ファイルの例 # 必要なコマンド（例：AD管理用）のみを許可し、ntdsutil等をホワイトリストから除外する New-PSRoleCapabilityFile -Path ".\ADMaintenance.psrc" @{ VisibleCmdlets = 'Get-ADUser', 'Set-ADUser' # 必要最小限のコマンドのみ許可 # ntdsutil や vssadmin は含めない } </pre> </div> <h3 class="wp-block-heading">3. 特権アクセスの保護策</h3> <ul class="wp-block-list"> <li><p><strong>Tiered Administration Model</strong>: ドメインコントローラ（Tier 0）を操作できる端末とユーザーを物理的・論理的に分離する。</p></li> <li><p><strong>管理者用端末（PAW）の使用</strong>: インターネット接続が遮断された専用端末からのみAD管理を許可する。</p></li> </ul> <p>【検出と緩和策】 攻撃者は「正規のツール」を使うため、ツールの存在自体ではなく「不審な挙動」をトリガーに検知する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>SIEM/EDRでの検知ロジック</strong>:</p> <ul> <li><p><code>ntdsutil.exe</code> または <code>vssadmin.exe</code> が、バックアップスケジュール以外の時間帯や、特定の管理者以外によって実行された。</p></li> <li><p>イベントID <strong>4799</strong> (セキュリティ対応グループの列挙) と <strong>4662</strong> (Active Directoryオブジェクトへの操作) の短時間での連続発生。</p></li> <li><p><code>esentutl.exe</code> による <code>ntds.dit</code> へのアクセス。</p></li> </ul></li> <li><p><strong>緩和策（Workaround）</strong>:</p> <ul> <li><p><strong>RMMツールの制限</strong>: 組織で許可されていないRMMツール（AnyDesk, TeamViewer等）のハッシュ値、証明書、通信ドメインをEDR/FWでブロックする。</p></li> <li><p><strong>VSS操作の監視</strong>: 一般ユーザーや不審なサービスによるシャドウコピー作成を監視する。</p></li> </ul></li> </ul> <p>【実務上の落とし穴】</p> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）</strong>: 正規のバックアップソフトウェア（Veeam, Arcserve等）もVSSや<code>ntdsutil</code>と同様のメカニズムを使用します。バックアップ実行時間や実行バイナリのパスをホワイトリスト化しない場合、アラートが埋没するリスクがあります。</p></li> <li><p><strong>可用性への影響</strong>: ADデータベースへのアクセス制限を厳しくしすぎると、正当なディレクトリ保守作業やDR（災害復旧）テストに支障をきたす恐れがあります。ポリシー変更時は、必ずステージング環境での検証が必要です。</p></li> </ul> <p>【まとめ】 組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>ツールの可視化</strong>: 自社のドメインコントローラにインストールされている、または実行可能なRMMツールとバックアップツールのリストアップ。</p></li> <li><p><strong>実行監視の強化</strong>: <code>ntdsutil</code>, <code>vssadmin</code>, <code>esentutl</code> の実行ログをSIEMに集約し、異常な引数（<code>create full</code> 等）を即時通知する設定の導入。</p></li> <li><p><strong>特権パスワードのローテーション</strong>: NTDS.ditが万が一窃取された場合に備え、KRBTGTアカウントのパスワードを定期的に（かつ2回連続で）リセットする運用の確立。</p></li> </ol> <hr/> <p><strong>参考文献：</strong></p> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/research/AD-Tools.html">JPCERT/CC: 攻撃者が悪用する Windows 標準コマンド</a></p></li> <li><p><a href="https://learn.microsoft.com/ja-jp/security/privileged-access-workstations/privileged-access-access-model">Microsoft: Active Directory の管理層モデルの保護</a></p></li> <li><p><a href="https://csrc.nist.gov/publications/detail/sp/800-207/final">NIST SP 800-207: Zero Trust Architecture</a></p></li> </ul>

graph TD
    A["攻撃者: 侵入済みの初期拠点"] -->|RDP/SMB等で横展開| B("ドメインコントローラ")
    B -->|正規RMMツールのインストール/悪用| C{"特権昇格・維持"}
    C -->|vssadmin / ntdsutil 等の実行| D["NTDS.dit のスナップショット作成"]
    D -->|SYSTEMレジストリと共にコピー| E["認証情報データベースの窃取"]
    E -->|オフライン解析| F["ドメイン管理者権限の完全掌握"]

# 脆弱な運用：特権ユーザーによる無制限な実行が可能


# 攻撃者が実行するコマンド例

ntdsutil "ac i ntds" "ifm" "create full c:\temp\ntds_dump" q q

# 推奨設定：JEA（Just Enough Administration）構成ファイルの例


# 必要なコマンド（例：AD管理用）のみを許可し、ntdsutil等をホワイトリストから除外する

New-PSRoleCapabilityFile -Path ".\ADMaintenance.psrc"
@{
    VisibleCmdlets = 'Get-ADUser', 'Set-ADUser' # 必要最小限のコマンドのみ許可

    # ntdsutil や vssadmin は含めない

}