<p><meta/> { “expert_role”: “CSIRT/Senior Security Engineer”, “focus”: “Active Directory Security & Incident Response”, “threat_context”: “Living off the Land (LotL) using RMM tools to exfiltrate NTDS.dit”, “compliance”: “NIST SP 800-53, MITRE ATT&CK T1003.003”, “output_integrity”: “RESEARCH-FIRST / PLAN-DRIVEN” } 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Active Directoryの心臓部『NTDS.dit』を狙うRMM悪用攻撃：検知回避の手法と実践的防御策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>正規のRMM（リモート監視・管理）ツールを悪用し、VSS経由でNTDS.ditを窃取する攻撃が急増。特定のCVEではなく、管理権限奪取後のOS機能悪用（MITRE T1003.003）として警戒が必要。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者は初期潜入後、正規の管理ツール（NinjaOne, ScreenConnect, AnyDesk等）やWindows標準機能を「隠れ蓑」として利用します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃元: 外部C2"] -->|正規RMMツールの悪用| B("ドメインコントローラへの接続") B -->|特権昇格/権限維持| C{"VSSの作成"} C -->|ntdsutil / vssadmin| D["NTDS.ditのコピー"] C -->|reg save| E["SYSTEMレジストリの抽出"] D & E -->|RMM経由で外部転送| F["オフラインでのパスワードクラック"] F -->|ドメイン管理者権限奪取| G["完全なドメイン掌握"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>NTDS.ditへのアクセス自体を禁止することはできませんが、その「プロセス」と「実行環境」を厳格化することが唯一の防衛策です。</p> <h3 class="wp-block-heading">1. 不適切な運用と安全な代替案（PowerShell例）</h3> <p><strong>× 誤用例：全ドメイン管理者への広範な権限付与</strong> ドメインコントローラ（DC）上で、誰でも（特権があれば）対話的にバックアップ操作やスクリプト実行が可能な状態。</p> <p><strong>○ 安全な代替案：JEA (Just Enough Administration) による制限</strong> 特定の管理操作（VSS作成等）のみを許可するエンドポイントを作成し、直接的なShellアクセスを制限します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Role Capabilityの定義 (VSS操作のみを許可) New-PSRoleCapabilityFile -Path ".\VSSBackup.psrc" -VisibleCmdlets @( 'vssadmin', 'Get-Service', 'Set-Service' ) # セッション構成の登録 Register-PSSessionConfiguration -Name "DC_Backup_Only" -RoleDefinitions @{ 'CONTOSO\BackupAdmins' = @{ RoleCapabilities = 'VSSBackup' } } </pre> </div> <h3 class="wp-block-heading">2. 鍵管理と権限の保護</h3> <ul class="wp-block-list"> <li><p><strong>Tier 0 モデルの徹底</strong>: DC（Tier 0）にログインできるアカウントを、他の一般端末（Tier 1/2）にログインさせない。これにより、一般端末からの資格情報窃取によるDCへの横展開を防ぎます。</p></li> <li><p><strong>RMMツールのアクセス制限</strong>: DCにインストールされたRMMエージェントに対しては、MFAの強制だけでなく、接続可能なソースIPの制限（ホワイトリスト化）を必須とします。</p></li> </ul> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検知ポイント（SIEM/EDR）</h3> <ol class="wp-block-list"> <li><p><strong>プロセスの親子関係</strong>: <code>sqlservr.exe</code> や <code>services.exe</code> ではなく、RMMツールのプロセスから <code>ntdsutil.exe</code> や <code>vssadmin.exe</code> が起動された場合にアラートを発報。</p></li> <li><p><strong>コマンドライン引数</strong>:</p> <ul> <li><p><code>ntdsutil "ac i ntds" "ifm" ...</code></p></li> <li><p><code>vssadmin create shadow /for=C:</code></p></li> </ul></li> <li><p><strong>イベントログ（Event ID）</strong>:</p> <ul> <li><p><strong>4799</strong>: セキュリティが有効なローカルグループの列挙（偵察行為）。</p></li> <li><p><strong>7045</strong>: 新しいサービスのインストール（RMMの永続化ツール）。</p></li> </ul></li> </ol> <h3 class="wp-block-heading">緩和策（Workaround）</h3> <ul class="wp-block-list"> <li><p><strong>バイナリの実行制限 (AppLocker/WDAC)</strong>: DC上での <code>ntdsutil.exe</code> や <code>vssadmin.exe</code> の実行を、特定のバックアップユーザー以外に対してブロックする。</p></li> <li><p><strong>ハニーファイル（Canary Objects）</strong>: NTDS.ditのダンプを試みる際に触れるような偽のディレクトリやアカウントを作成し、そのアクセスを監視する。</p></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>正規バックアップとの誤検知（FP）</strong>: VeeamやArcserveなどのバックアップソフトもVSSを利用します。これらの「正規のサービスアカウント」と「攻撃者のRMMプロセス」を区別するホワイトリスト管理が煩雑になり、運用を圧迫するリスクがあります。</p></li> <li><p><strong>可用性のトレードオフ</strong>: RMMツールを完全に遮断すると、トラブルシューティング時のMTTR（平均復旧時間）が悪化します。利便性とセキュリティのバランスとして、「DCへのRMM接続時のみ管理者に通知・承認を求めるワークフロー」の検討が必要です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ：今すぐ実施すべき3項目】</h2> <ol class="wp-block-list"> <li><p><strong>DCにおける「コマンドライン監査」の有効化</strong>: <code>vssadmin</code> や <code>ntdsutil</code> の実行ログが詳細に残るよう、グループポリシーで設定を強化する。</p></li> <li><p><strong>Tier 0 管理端末の分離</strong>: DCを管理する端末は、インターネット閲覧やメール利用を禁止した専用の「PAW (Privileged Access Workstation)」に限定する。</p></li> <li><p><strong>RMMツールの権限再点検</strong>: DCに導入されているRMMエージェントの権限を最小化し、不要なリモートシェル機能を無効化する。</p></li> </ol> <hr/> <p><strong>参考文献：</strong></p> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/research/2022/intrusion_ransomware_report.html">JPCERT/CC: 侵入型ランサムウェア攻撃の分析報告書</a></p></li> <li><p><a href="https://www.crowdstrike.com/blog/ntds-dit-protection-and-detection/">CrowdStrike: Protecting Against NTDS.dit Exfiltration</a></p></li> <li><p><a href="https://learn.microsoft.com/en-us/security/privileged-access-strategy/privileged-access-model">Microsoft: Securing Privileged Access (Tier Model)</a></p></li> </ul>

graph TD
    A["攻撃元: 外部C2"] -->|正規RMMツールの悪用| B("ドメインコントローラへの接続")
    B -->|特権昇格/権限維持| C{"VSSの作成"}
    C -->|ntdsutil / vssadmin| D["NTDS.ditのコピー"]
    C -->|reg save| E["SYSTEMレジストリの抽出"]
    D & E -->|RMM経由で外部転送| F["オフラインでのパスワードクラック"]
    F -->|ドメイン管理者権限奪取| G["完全なドメイン掌握"]

# Role Capabilityの定義 (VSS操作のみを許可)

New-PSRoleCapabilityFile -Path ".\VSSBackup.psrc" -VisibleCmdlets @(
    'vssadmin', 'Get-Service', 'Set-Service'
)

# セッション構成の登録

Register-PSSessionConfiguration -Name "DC_Backup_Only" -RoleDefinitions @{
    'CONTOSO\BackupAdmins' = @{ RoleCapabilities = 'VSSBackup' }
}