<p><style_prompt> role: CSIRT / Senior Security Engineer language: Japanese tone: Professional, Technical, Objective metadata: research_sources: [NVD, JPCERT/CC, MITRE ATT&CK, Microsoft Security Blog] threat_focus: NTDS.dit Exfiltration (T1003.003) attack_vector: Legitimate Remote Management Tools / LotL </style_prompt></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">ADドメインの崩壊を招く「NTDS.dit」の窃取：正規管理ツールを悪用した高度な攻撃手法と防御策</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>正規のRMMツールや<code>ntdsutil</code>を悪用し、ADの全認証情報を含むNTDS.ditを窃取する手法。特定のCVE番号に依存せず、管理権限の奪取後に実行される深刻なポストエクスプロイト（T1003.003）です。</p> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <p>攻撃者は初期侵入後、正規のリモート管理ツール（RMM）やPowerShellを用いてドメインコントローラー（DC）上でボリューム・シャドウ・コピー（VSS）を作成し、ロックされたNTDS.ditを複製・持ち出します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|RMMツールの悪用 / 認証情報の窃取| B["ドメインコントローラーへのアクセス"] B -->|権限昇格 / 管理者権限| C["ntdsutil / vssadmin の実行"] C -->|ボリュームシャドウコピー作成| D["NTDS.dit & SYSTEMレジストリの抽出"] D -->|外部C2サーバーへ転送| E["オフラインでのパスワードクラック"] E -->|全ドメインユーザーのパスワード取得| F["ドメイン完全掌握 / 永続化"] </pre></div> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <p>NTDS.ditの窃取を防ぐには、DC上での特権コマンド実行を制限し、正規ツール（ntdsutil等）の挙動を監視する必要があります。</p> <h4 class="wp-block-heading">1. 脆弱な運用（攻撃者が悪用しやすい環境）</h4> <p>DC上でローカル管理者権限を持つユーザーが多すぎる、またはRMMツールがDCで常時動作している状態です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 攻撃者が実行する例（正規ツールを悪用した抽出） # 検出が不十分な環境では、これだけで全ハッシュが盗まれる ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q </pre> </div> <h4 class="wp-block-heading">2. 安全な代替案（防御強化の構成）</h4> <p>ADの階層管理（Tiered Administration）を導入し、DCへのアクセスを厳格に制限します。また、AppLockerやWindows Defender Application Control (WDAC) でDC上の実行可能ファイルを制限します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 対策：特権アクセス管理の強化（PowerShell JEAの活用例） # 必要な操作（バックアップ等）のみを許可し、ntdsutilの自由な実行を制限する役割定義 New-PSSessionConfigurationFile -Path ".\DCAdminConfig.pssc" -SessionType RestrictedRemoteServer -RoleDefinitions @{ 'DomainAdmins' = @{ VisibleCmdlets = 'Get-Service', 'Start-Service' } # ntdsutilを許可しない } </pre> </div> <p><strong>具体的な保護策：</strong></p> <ul class="wp-block-list"> <li><p><strong>Tier 0 モデルの徹底</strong>：DCを管理するのは、専用の特権管理端末（PAW）からのみに限定する。</p></li> <li><p><strong>VSS操作の監視</strong>：<code>vssadmin</code> や <code>ntdsutil</code> によるスナップショット作成をSIEMで即時アラート化する。</p></li> <li><p><strong>リモートツールの制限</strong>：DCにAnyDeskやTeamViewer、ScreenConnect等の汎用RMMツールをインストールしない。</p></li> </ul> <h3 class="wp-block-heading">【検出と緩和策】</h3> <h4 class="wp-block-heading">EDR/SIEMでの検知ポイント</h4> <ul class="wp-block-list"> <li><p><strong>イベントID 4662 (Active Directory オブジェクトへのアクセス)</strong>：特にレプリケーション特権（DS-Replication-Get-Changes-All）の行使を監視。</p></li> <li><p><strong>コマンドライン引数の監視</strong>：<code>ntdsutil</code>, <code>vssadmin</code>, <code>esentutl</code>, <code>diskshadow</code> の実行、および “IFM” (Install From Media) オプションの使用を検知。</p></li> <li><p><strong>プロセスの親子関係</strong>：RMMツールのプロセスから <code>cmd.exe</code> や <code>powershell.exe</code> が起動され、VSS操作を行っている場合は異常と判断。</p></li> </ul> <h4 class="wp-block-heading">緩和策 (Workaround)</h4> <ul class="wp-block-list"> <li><p><strong>Active Directory Recycle Binの有効化</strong>：属性変更の追跡を容易にする。</p></li> <li><p><strong>「保護されたユーザー (Protected Users)」グループの活用</strong>：NTLMハッシュのキャッシュを防止し、パス・ザ・ハッシュ攻撃を困難にする。</p></li> </ul> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）のリスク</strong>：正規のバックアップソフトがVSSを使用するため、単純な「VSS作成検知」では運用が麻痺する可能性があります。バックアップソフト固有のサービスアカウントや、既定の実行スケジュール以外での実行を識別するロジックが必要です。</p></li> <li><p><strong>可用性とのトレードオフ</strong>：DCのセキュリティを固めすぎると、障害発生時の復旧作業（リストア）が困難になる恐れがあります。ブレイク・グラス・アカウント（緊急時用アカウント）の運用ルールを事前に策定しておくことが不可欠です。</p></li> </ul> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>DCからのRMMツール削除</strong>：ドメインコントローラー上で動作している不要なリモート管理ツールを即座に特定し、アンインストールする。</p></li> <li><p><strong>監査ログの強化</strong>：イベントID 4662および4688（コマンドライン引数含む）をSIEMに集約し、<code>ntdsutil</code> 等の異常な使用を監視する。</p></li> <li><p><strong>特権階層モデルの導入</strong>：ドメイン管理者権限をDC以外（一般端末やサーバー）で絶対に使用しない運用を徹底する。</p></li> </ol> <hr/> <p><strong>参考文献：</strong></p> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/at/2022/at220006.html">JPCERT/CC: 侵入型ランサムウェア攻撃を受けないためのチェックリスト</a></p></li> <li><p><a href="https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/securing-privileged-access">Microsoft: Active Directory の管理層モデルの保護</a></p></li> <li><p><a href="https://attack.mitre.org/techniques/T1003/003/">MITRE ATT&CK: OS Credential Dumping: NTDS (T1003.003)</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|RMMツールの悪用 / 認証情報の窃取| B["ドメインコントローラーへのアクセス"]
    B -->|権限昇格 / 管理者権限| C["ntdsutil / vssadmin の実行"]
    C -->|ボリュームシャドウコピー作成| D["NTDS.dit & SYSTEMレジストリの抽出"]
    D -->|外部C2サーバーへ転送| E["オフラインでのパスワードクラック"]
    E -->|全ドメインユーザーのパスワード取得| F["ドメイン完全掌握 / 永続化"]

# 攻撃者が実行する例（正規ツールを悪用した抽出）


# 検出が不十分な環境では、これだけで全ハッシュが盗まれる

ntdsutil "ac i ntds" "ifm" "create full c:\temp" q q

# 対策：特権アクセス管理の強化（PowerShell JEAの活用例）


# 必要な操作（バックアップ等）のみを許可し、ntdsutilの自由な実行を制限する役割定義

New-PSSessionConfigurationFile -Path ".\DCAdminConfig.pssc" -SessionType RestrictedRemoteServer -RoleDefinitions @{
    'DomainAdmins' = @{ VisibleCmdlets = 'Get-Service', 'Start-Service' } # ntdsutilを許可しない
}