<p><meta/> { “source”: “RESEARCH-FIRST”, “threat_intel”: [ “MITRE ATT&CK T1003.003 (OS Credential Dumping: NTDS)”, “JPCERT/CC: 侵入型ランサムウェア攻撃の分析”, “Microsoft Security Advisory: ADDS Hardening Guide” ], “plan”: { “kill_chain_stage”: “Exfiltration / Credential Access”, “mitigation_priority”: “High (Domain Compromise Risk)”, “target_asset”: “NTDS.dit (Active Directory Database)” } } </p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">ADドメイン崩壊を防ぐ：正規ツールを悪用したNTDS.dit奪取への実効的対策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>Windows標準ツール（ntdsutil等）を悪用し、ADの全認証情報を含む「NTDS.dit」を窃取する手法。CVE番号はないが、MITRE T1003.003として定義され、全ドメイン掌握に直結する。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者: 初期侵入"] -->|権限昇格| B["ドメイン管理者/SYSTEM権限取得"] B -->|VSS/ntdsutil悪用| C["NTDS.dit / SYSTEMレジストリのコピー作成"] C -->|正規リモート管理ツール/SMB| D["攻撃者端末へ持ち出し"] D -->|オフライン解析| E["ドメイン全ユーザーのパスワードハッシュ復元"] E -->|Golden Ticket等| F["ドメインの完全掌握・永続化"] </pre></div> <p>攻撃の核心は、稼働中のADデータベースがロックされているため、ボリュームシャドウコピー（VSS）や<code>ntdsutil.exe</code>の「Install From Media (IFM)」機能を使用して、整合性を保ったままコピーを作成する点にあります。</p> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <h3 class="wp-block-heading">1. 脆弱な設定（デフォルト状態）</h3> <p>デフォルトでは、ドメイン管理者権限を持つアカウントが任意のサーバーからリモートで<code>ntdsutil</code>を実行し、バックアップを作成できてしまいます。</p> <h3 class="wp-block-heading">2. 安全な代替案（防御・硬化策）</h3> <p>PowerShellを用いた、NTDS.ditへのアクセス制限の強化と、不審なプロセスの監視設定例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. 監査ポリシーの有効化 (プロセス作成の監査) # 以下の設定をGPOで適用することを推奨 # [コンピューターの構成] -> [Windowsの設定] -> [セキュリティの設定] -> [高度な監査構成] # -> [詳細な追跡] -> [プロセス作成の監査] : 成功をチェック # 2. ntdsutil 等の機微なツール実行を監視するサンプル (SIEM送信用) $TriggerTools = @("ntdsutil.exe", "vssadmin.exe", "wbadmin.exe", "esentutl.exe") Get-WinEvent -LogName "Security" -FilterXPath "*[System[(EventID=4688)]]" | Where-Object { $_.Properties[5].Value -in $TriggerTools -and $_.Properties[8].Value -like "*ac i ntds*" } | ForEach-Object { Write-Warning "【警告】NTDS窃取の可能性を検知: $($_.Properties[5].Value) が実行されました。" } # 3. 特権ユーザーの制限 (PIM/PAMの導入検討) # Domain Adminsを「Protected Users」グループへ追加し、 # NTLM認証の禁止やチケット有効期限の短縮を行う。 </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検知ポイント</h3> <ul class="wp-block-list"> <li><p><strong>イベントID 4688 (プロセス作成)</strong>: <code>ntdsutil.exe</code> の引数に <code>ac i ntds</code> (Activate Instance ntds) や <code>ifm</code> (Install From Media) が含まれる場合。</p></li> <li><p><strong>イベントID 4799 (セキュリティ状態の変更)</strong>: ローカルグループの列挙（特に <code>Administrators</code> や <code>Backup Operators</code>）。</p></li> <li><p><strong>VSS作成ログ</strong>: <code>vssadmin create shadow /for=C:</code> などのコマンド。</p></li> <li><p><strong>EDRの振る舞い検知</strong>: LSASSプロセスへの不審なアクセスや、<code>ntds.dit</code> ファイルの通常とは異なるパスへのコピー。</p></li> </ul> <h3 class="wp-block-heading">緩和策（Workaround）</h3> <ul class="wp-block-list"> <li><p><strong>Tiered Administration Model</strong>: ドメイン管理者が一般端末にログインすることを禁止し、資格情報の窃取（Credential Dumping）を防ぐ。</p></li> <li><p><strong>RDP制限</strong>: ドメインコントローラーへの直接RDPアクセスを「管理用ジャンプサーバ」からのみに制限。</p></li> <li><p><strong>バックアップの保護</strong>: バックアップデータ自体の暗号化と、バックアップ実行権限の最小化。</p></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）のリスク</strong>: 正規のシステムバックアップソフトや、ADのメンテナンス作業においても <code>ntdsutil</code> や <code>vssadmin</code> は使用されます。一律にブロックすると運用が停止するため、「実行元ユーザー」「実行元IP」「実行スケジュール」との相関分析が不可欠です。</p></li> <li><p><strong>可用性とのトレードオフ</strong>: <code>Protected Users</code> グループへの追加は、古いプロトコル（NTLM等）を即座に無効化するため、レガシーシステムがドメイン認証を使用している場合にサービス停止を招く恐れがあります。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として今すぐ実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>監査ログの有効化</strong>: ドメインコントローラでの「プロセス作成（コマンドライン引数含む）」の監査ログ取得と、SIEMへの転送確認。</p></li> <li><p><strong>特権アカウントの分離</strong>: <code>Domain Admins</code> アカウントを日常業務（メール、Web閲覧）に使用せず、専用の管理端末からのみ利用する運用へ移行。</p></li> <li><p><strong>LotL攻撃の監視</strong>: <code>ntdsutil</code> などの正規ツールが、計画されたメンテナンス時間以外に実行された場合に即時アラートが飛ぶ体制の構築。</p></li> </ol> <h3 class="wp-block-heading">参考文献</h3> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/research/AD-Tools.html">JPCERT/CC: Windows OSの標準機能を悪用する攻撃への対応ガイド</a></p></li> <li><p><a href="https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory">Microsoft: Best Practices for Securing Active Directory</a></p></li> <li><p><a href="https://attack.mitre.org/techniques/T1558/">MITRE ATT&CK: Steal or Forge Kerberos Tickets (T1558)</a></p></li> </ul>

graph TD
    A["攻撃者: 初期侵入"] -->|権限昇格| B["ドメイン管理者/SYSTEM権限取得"]
    B -->|VSS/ntdsutil悪用| C["NTDS.dit / SYSTEMレジストリのコピー作成"]
    C -->|正規リモート管理ツール/SMB| D["攻撃者端末へ持ち出し"]
    D -->|オフライン解析| E["ドメイン全ユーザーのパスワードハッシュ復元"]
    E -->|Golden Ticket等| F["ドメインの完全掌握・永続化"]

# 1. 監査ポリシーの有効化 (プロセス作成の監査)


# 以下の設定をGPOで適用することを推奨


# [コンピューターの構成] -> [Windowsの設定] -> [セキュリティの設定] -> [高度な監査構成]


# -> [詳細な追跡] -> [プロセス作成の監査] : 成功をチェック

# 2. ntdsutil 等の機微なツール実行を監視するサンプル (SIEM送信用)

$TriggerTools = @("ntdsutil.exe", "vssadmin.exe", "wbadmin.exe", "esentutl.exe")
Get-WinEvent -LogName "Security" -FilterXPath "*[System[(EventID=4688)]]" | Where-Object {
    $_.Properties[5].Value -in $TriggerTools -and $_.Properties[8].Value -like "*ac i ntds*"
} | ForEach-Object {
    Write-Warning "【警告】NTDS窃取の可能性を検知: $($_.Properties[5].Value) が実行されました。"
}

# 3. 特権ユーザーの制限 (PIM/PAMの導入検討)


# Domain Adminsを「Protected Users」グループへ追加し、


# NTLM認証の禁止やチケット有効期限の短縮を行う。