<p><style_prompt> </style_prompt></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">[実務ガイド] ADの心臓部「NTDS.dit」を狙う正規ツール悪用攻撃への対策</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>正規のWindows管理ツールやRMM（リモート監視管理）を悪用し、ADの全認証情報を含む「NTDS.dit」を窃取する攻撃が拡大。ドメイン掌握に直結する。</p> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <p>攻撃者は、脆弱性を突いて侵入した後にADドメインコントローラ（DC）上で、本来バックアップ等に利用される正規ツール（ntdsutil, vssadmin等）を悪用し、使用中のNTDS.ditファイルをコピー・窃取します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃元: 外部/侵入済み端末"] -->|RMM/脆弱性悪用| B["ドメインコントローラへ侵入"] B -->|権限昇格| C["SYSTEM権限取得"] C -->|VSSAdmin/DiskShadow| D["ボリュームシャドウコピー作成"] D -->|ntdsutil/コピー| E["NTDS.dit & SYSTEMレジストリ抽出"] E -->|正規通信/RMM| F["攻撃者端末へ持ち出し"] F -->|オフライン解析| G["全ユーザーのハッシュ奪取・ドメイン掌握"] </pre></div> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <p>NTDS.ditの窃取を防ぐには、ツールの実行制限と「Tiered Administration（階層化管理）」の徹底が不可欠です。</p> <h4 class="wp-block-heading">1. 誤用例：特権の乱用を許す設定</h4> <p>AD管理において、ドメイン管理者（Domain Admins）が日常的な作業（メール閲覧やWeb閲覧）を行う端末にログインしている状態。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 脆弱な運用例：一般端末からDCへ管理者権限で常時接続可能 # 攻撃者はこのセッションを乗っ取り、DC上で以下を実行する ntdsutil "ac i ntds" "ifm" "create full c:\temp" quit quit </pre> </div> <h4 class="wp-block-heading">2. 安全な代替案：実行制限とPAW（特権アクセス専用端末）の導入</h4> <p>DC上での特定コマンド実行をEDR等で制限し、DCへのアクセスは厳格に管理されたPAWからのみ許可します。</p> <p><strong>PowerShellによる不審なプロセス監視例：</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># NTDS.ditの抽出を試みる典型的なコマンドライン引数を検知するロジック（概念） $TargetProcesses = @("ntdsutil", "vssadmin", "diskshadow", "esentutl") $SuspiciousArgs = @("create", "shadow", "ifm", "extract") Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object { $_.Id -eq 1 -and ($TargetProcesses -contains $_.Properties[3].Value) } | ForEach-Object { # 実行引数に特定のキーワードが含まれるかチェック if ($_.Properties[4].Value -match ($SuspiciousArgs -join "|")) { Write-Warning "Critical: Suspicious NTDS.dit extraction activity detected!" } } </pre> </div> <h3 class="wp-block-heading">【検出と緩和策】</h3> <ul class="wp-block-list"> <li><p><strong>EDR/SIEMでの検知ポイント</strong>:</p> <ul> <li><p><code>Event ID 4799</code>: セキュリティ対応のローカルグループ メンバーシップが読み取られた（ntdsutil等による列挙）。</p></li> <li><p><code>Event ID 7045</code>: サービスがインストールされた（不審なRMMツールの導入）。</p></li> <li><p>コマンドライン監視: <code>ntdsutil</code>, <code>vssadmin create shadow</code>, <code>diskshadow</code> の実行。</p></li> </ul></li> <li><p><strong>応急的な緩和策</strong>:</p> <ul> <li><p>DC上での不要なRMMツール、サードパーティ製管理ツールのアンインストール。</p></li> <li><p>DCからインターネットへの直接通信をプロキシ等で遮断（Exfiltrationの阻止）。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）</strong>: 正規のバックアップソフトウェアもVSS（Volume Shadow Copy Service）を利用します。バックアップ実行スケジュールと検知アラートを照合する仕組みがないと、運用負荷が激増します。</p></li> <li><p><strong>可用性のトレードオフ</strong>: DCのセキュリティを強化しすぎ（例：すべての管理ツール実行禁止）、障害発生時の迅速な復旧（NTDSの修復等）が遅れるリスクを考慮し、ブレイクグラス（緊急用）アカウントと手順を別途定義しておく必要があります。</p></li> </ul> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>DCへのログイン制限</strong>: ドメイン管理者権限を日常業務から分離し、DCへのRDP/管理アクセスを特定端末（PAW）に限定する。</p></li> <li><p><strong>不審なコマンド実行の監視</strong>: EDRまたはSysmonを用いて、DC上での <code>ntdsutil</code> や <code>vssadmin</code> の実行を即時アラート化する。</p></li> <li><p><strong>ADバックアップの保護</strong>: NTDS.ditの正規バックアップデータ自体が攻撃者に狙われないよう、保存先（クラウドストレージやバックアップサーバー）のアクセス権を厳格化する。</p></li> </ol> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://www.jpcert.or.jp/research/20171108-living-off-the-land.html">JPCERT/CC: Windows OSの標準機能を悪用した攻撃に関する調査報告書</a></p></li> <li><p><a href="https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/privileged-access-strategy">Microsoft: Active Directory の管理階層モデル</a></p></li> <li><p><a href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-025a">CISA: Understanding and Responding to Rogue RMM</a></p></li> </ul>

graph TD
    A["攻撃元: 外部/侵入済み端末"] -->|RMM/脆弱性悪用| B["ドメインコントローラへ侵入"]
    B -->|権限昇格| C["SYSTEM権限取得"]
    C -->|VSSAdmin/DiskShadow| D["ボリュームシャドウコピー作成"]
    D -->|ntdsutil/コピー| E["NTDS.dit & SYSTEMレジストリ抽出"]
    E -->|正規通信/RMM| F["攻撃者端末へ持ち出し"]
    F -->|オフライン解析| G["全ユーザーのハッシュ奪取・ドメイン掌握"]

# 脆弱な運用例：一般端末からDCへ管理者権限で常時接続可能


# 攻撃者はこのセッションを乗っ取り、DC上で以下を実行する

ntdsutil "ac i ntds" "ifm" "create full c:\temp" quit quit

# NTDS.ditの抽出を試みる典型的なコマンドライン引数を検知するロジック（概念）

$TargetProcesses = @("ntdsutil", "vssadmin", "diskshadow", "esentutl")
$SuspiciousArgs = @("create", "shadow", "ifm", "extract")

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object {
    $_.Id -eq 1 -and ($TargetProcesses -contains $_.Properties[3].Value)
} | ForEach-Object {

    # 実行引数に特定のキーワードが含まれるかチェック

    if ($_.Properties[4].Value -match ($SuspiciousArgs -join "|")) {
        Write-Warning "Critical: Suspicious NTDS.dit extraction activity detected!"
    }
}