<p><metadata> { “research”: “Active Directory (AD) security focusing on NTDS.dit exfiltration via Living-off-the-Land (LotL) techniques. Reference to CVE-2024-1709 (ConnectWise ScreenConnect) as an entry point and subsequent use of ntdsutil.exe/vssadmin.exe.”, “plan”: “1. Define threat: NTDS.dit theft. 2. Visualize: Kill chain from RMM abuse to domain takeover. 3. Code/Config: Compare dangerous default vs. hardened auditing. 4. Detection: Event ID tracking. 5. Practicality: Operational impact of strict controls.” } </metadata> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">NTDS.dit窃取によるドメイン支配：正規管理ツールの悪用シナリオと防御戦略</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>正規の管理ツールやCVE-2024-1709等の脆弱性を悪用し、ADの全情報を握るNTDS.ditを複製・窃取する攻撃が急増しています。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者は正規の「ntdsutil.exe」やボリュームシャドウコピー（VSS）を利用し、セキュリティ製品の検知を回避しながらデータベースを複製します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃元: RMMツールの脆弱性等を悪用"] -->|初期侵入| B["ドメインコントローラへの横展開"] B -->|SYSTEM権限奪取| C["正規ツールの悪用: ntdsutil / vssadmin"] C -->|IFM作成| D["NTDS.dit / SYSTEMレジストリの複製"] D -->|外部転送| E["オフライン解析: 全ユーザーのハッシュ抽出"] E -->|ドメイン掌握| F["Golden Ticket作成 / 永続化"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>攻撃者が用いる手法（悪用例）と、それを防ぐ・検知するための構成を対比します。</p> <h3 class="wp-block-heading">1. 悪用されるコマンド例（ntdsutilによるIFM作成）</h3> <p>攻撃者は以下のコマンドで、使用中のADデータベースをスナップショットとして切り出します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 悪用例: インストールメディア作成機能(IFM)を悪用した窃取 ntdsutil "ac i ntds" "ifm" "create full c:\temp\shadow" q q </pre> </div> <h3 class="wp-block-heading">2. 安全な代替案（防御側：高度な監査ポリシーの設定）</h3> <p>「ツールの実行を止める」のが難しいDCにおいて、不審な挙動を即座に検知する設定を投入します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 推奨設定: PowerShellによる監査ポリシーの強化 (監査ログの有効化) # NTDSUTIL等のプロセス作成を詳細に記録する Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit" -Name "ProcessCreationIncludeCmdLine_Output" -Value 1 # 監視すべき重要なイベントID # Event ID 4799: セキュリティ対応のローカルグループが列挙された (偵察) # Event ID 4688: 新しいプロセスの作成 (ntdsutil.exe / vssadmin.exe + 引数) # Event ID 8222: ボリュームシャドウコピーサービスの操作 </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <ul class="wp-block-list"> <li><p><strong>EDR/SIEMでの検知ポイント</strong>:</p> <ul> <li><p><code>ntdsutil.exe</code> または <code>vssadmin.exe</code> が <code>create</code> や <code>mount</code> 引数を伴って実行された場合のアラート設定。</p></li> <li><p>ドメインコントローラにおける「SYSTEM権限以外」または「特定の管理者以外」による特定バイナリの実行。</p></li> </ul></li> <li><p><strong>応急的な緩和策（Workaround）</strong>:</p> <ul> <li><p><strong>Tierモデルの導入</strong>: ドメイン管理者が一般端末にログインすることを厳格に禁止し、認証情報の窃取を防ぐ。</p></li> <li><p><strong>ディレクトリへのACL制限</strong>: <code>C:\Windows\NTDS</code> フォルダへのアクセス監視を強化する。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）のリスク</strong>: バックアップソフトや公式のパッチ適用時に <code>vssadmin</code> や <code>ntdsutil</code> が実行されることがあります。これらを一律に禁止すると、<strong>システムのバックアップやリカバリが失敗</strong>し、可用性に重大な影響を及ぼします。</p></li> <li><p><strong>対策</strong>: 「正規のバックアップ実行アカウント」と「ソースIP」をホワイトリスト化し、それ以外からの実行を「異常」としてスコアリングする運用が必要です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>DCの監査ログ強化</strong>: プロセス実行引数（CommandLine）の記録を有効化し、SIEMへ転送する。</p></li> <li><p><strong>RMMツールの棚卸し</strong>: 外部からDCへアクセス可能な管理ツール（ScreenConnect, AnyDesk等）の脆弱性と多要素認証（MFA）設定を再点検する。</p></li> <li><p><strong>権限の分離（Tiering）</strong>: ドメイン管理権限を「DC専用」に限定し、日常業務端末での利用を完全に遮断する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/magazine/security/ransom-threathunting.html">JPCERT/CC: 侵入型ランサムウェア攻撃の傾向と対策</a></p></li> <li><p><a href="https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/securing-privileged-access">Microsoft: Active Directory の管理層モデルのセキュリティ保護</a></p></li> <li><p><a href="https://nvd.nist.gov/vuln/detail/CVE-2024-1709">NIST NVD: CVE-2024-1709 Detail</a></p></li> </ul>

graph TD
    A["攻撃元: RMMツールの脆弱性等を悪用"] -->|初期侵入| B["ドメインコントローラへの横展開"]
    B -->|SYSTEM権限奪取| C["正規ツールの悪用: ntdsutil / vssadmin"]
    C -->|IFM作成| D["NTDS.dit / SYSTEMレジストリの複製"]
    D -->|外部転送| E["オフライン解析: 全ユーザーのハッシュ抽出"]
    E -->|ドメイン掌握| F["Golden Ticket作成 / 永続化"]

# 悪用例: インストールメディア作成機能(IFM)を悪用した窃取

ntdsutil "ac i ntds" "ifm" "create full c:\temp\shadow" q q

# 推奨設定: PowerShellによる監査ポリシーの強化 (監査ログの有効化)


# NTDSUTIL等のプロセス作成を詳細に記録する

Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit" -Name "ProcessCreationIncludeCmdLine_Output" -Value 1

# 監視すべき重要なイベントID


# Event ID 4799: セキュリティ対応のローカルグループが列挙された (偵察)


# Event ID 4688: 新しいプロセスの作成 (ntdsutil.exe / vssadmin.exe + 引数)


# Event ID 8222: ボリュームシャドウコピーサービスの操作