JPCERTコーディネーションセンター、Active Directoryのドメイン管理者アカウント乗っ取りに注意喚起
国内組織の内部ネットワークに侵入し、長期間に渡り潜伏や情報窃取など行う標的型攻撃が複数確認され、JPCERTが注意を呼びかけている。この攻撃により攻撃者はActive Directory のドメイン管理者アカウントの認証情報を窃取し、当該管理者アカウントを悪用して攻撃を行うことが可能となる。管理者アカウントでシステムへのアクセスが可能なため、業務端末やサーバへの侵入や組織内部でのマルウエア感染の拡大、情報の窃取などされる恐れがある。
管理者アカウントが不正利用されていないか確認するためにもログの確認を行うよう推奨している。Active Directoryを運用している組織では利用されていないアカウントが放置されていたり、必要以上の管理者権限を持ったアカウントが作成されている場合があり、攻撃活動に悪用されている事例が多数確認されているため、管理アカウントの不正利用検知のためにもログイン状況や接続先、接続元端末などを確認するよう推奨している。
また、普段の管理者アカウントの不正使用被害低減のためにも管理端末やサーバOS、ソフトウェアを最新の状態に保ち、管理者アカウントに強固なパスワードを設定し、アカウントの定期的な監査、権限見直し、不要アカウントの削除を行うようにする。また、重要なサーバへの一般端末からのアクセスは制限し、管理者アカウントは信頼できる端末のみで使用するなどの対策を行うよう呼びかけている。
