多くの組織にとって、Active Directory (AD) サービスアカウントは静かな後回しの存在であり、その元々の目的が忘れ去られた後も背景に残り続けます。さらに悪いことに、これらの孤立したサービスアカウント(レガシーアプリケーション、スケジュールされたタスク、自動化スクリプト、またはテスト環境のために作成されたもの)は、期限切れにならないか古いパスワードでアクティブなまま放置されることがよくあります。
ADサービスアカウントが日常的なセキュリティ監視を逃れることは驚くべきことではありません。セキュリティチームは、日々の要求と技術的負債に圧倒され、個々のユーザーにリンクされておらず、めったに精査されないサービスアカウントを見落としがちであり、それらが静かに背景に消えていくことを許しています。しかし、この不透明さが、攻撃者がネットワークに密かに侵入するための格好の標的となります。放置されると、忘れられたサービスアカウントは、攻撃経路や企業環境全体での横移動のための静かなゲートウェイとして機能する可能性があります。この記事では、忘れられたADサービスアカウントがもたらすリスクと、どのようにして露出を減らすことができるかを検討します。
忘れられたものを発見し、インベントリを作成する#
古いサイバーセキュリティの格言にあるように、見えないものを保護することはできません。これはADサービスアカウントに特に当てはまります。可視性を得ることがそれらを保護するための第一歩ですが、孤立したり監視されていないサービスアカウントはしばしば背景で静かに動作し、注意や監視を逃れます。これらの忘れられたサービスアカウントは特に問題であり、近年の最も深刻な侵害のいくつかで中心的な役割を果たしてきました。2020年のSolarWinds攻撃の場合、侵害されたサービスアカウントは、脅威アクターがターゲット環境をナビゲートし、機密システムにアクセスするのを助ける上で重要な役割を果たしました。
攻撃者がフィッシングやソーシャルエンジニアリングを通じて足場を得ると、次に行うことは通常、サービスアカウントを探して悪用し、それを使って特権を昇格させ、ネットワークを横移動することです。幸いなことに、管理者は忘れられたまたは監視されていないADサービスアカウントを特定し、発見するためのさまざまな技術を利用できます:
- 通常、サービスが他のシステムと認証するために使用されるサービスプリンシパル名(SPN)対応のアカウントをADにクエリします。
- 期限切れのないパスワードを持つアカウントや、長期間ログインしていないアカウントをフィルタリングします。
- 未使用のアカウントを参照するハードコードされたまたは埋め込まれた資格情報を持つスケジュールされたタスクやスクリプトをスキャンします。
- サービスアカウントが時間とともに昇格した特権を継承した可能性のあるグループメンバーシップの異常を確認します。
- Active Directoryを監査します。Specopsの無料のAD監査ツールを使用して、今日読み取り専用スキャンを実行できます:Specops Password Auditor
実際の例:ボットネットが忘れられたアカウントを悪用#
2024年初頭、セキュリティ研究者は、Microsoft 365サービスアカウントをターゲットにした大規模なパスワードスプレーキャンペーンにおいて、13万台以上のデバイスのボットネットを発見しました。攻撃者は、多くの環境でまだ有効な古い認証スキームである基本認証を悪用して、多要素認証(MFA)を回避しました。これらの攻撃は通常のセキュリティアラートをトリガーしなかったため、多くの組織は侵害されていることに気づきませんでした。この例は、サービスアカウントを保護し、レガシー認証メカニズムを排除することの重要性を強調する多くの例の一つに過ぎません。
特権の増加が静かなエスカレーションを引き起こす#
最初は最小限の権限で作成されたサービスアカウントでも、時間が経つにつれて危険になることがあります。このシナリオは特権の増加として知られ、システムのアップグレード、役割の変更、またはネストされたグループメンバーシップによってアカウントが権限を蓄積する場合に発生します。低リスクのユーティリティアカウントとして始まったものが、誰も気づかないうちに重要なシステムにアクセスできる高影響の脅威に静かに進化することがあります。
したがって、セキュリティチームは定期的にサービスアカウントの役割と権限を確認する必要があります。アクセスが積極的に管理されていない場合、善意の構成であってもリスクのある領域に漂流する可能性があります。
効果的なADサービスアカウント管理には、これらのログインが適切な取り扱いを必要とする高価値のターゲットであるため、意図的で規律あるアプローチが必要です。ここに、強力なADサービスアカウントセキュリティ戦略の基盤を形成するいくつかのベストプラクティスがあります:
最小特権を強制する#
各アカウントが機能するために絶対に必要な権限のみを付与します。サービスアカウントをDomain Adminsのような広範または強力なグループに配置することを避けます。
管理されたサービスアカウントとグループ管理されたサービスアカウントを使用する#
管理されたサービスアカウント(MSA)とグループ管理されたサービスアカウント(gMSA)は、自動パスワードローテーションを提供し、対話型ログインには使用できません。これにより、従来のユーザーアカウントよりも安全で、セキュリティを維持しやすくなります。
定期的に監査する#
組み込みのAD監査またはサードパーティツールを使用して、アカウントの使用状況、ログイン、権限の変更を追跡します。誤用や誤設定の兆候に注意を払います。
強力なパスワードポリシーを強制する#
長く複雑なパスフレーズを標準とすべきです。再利用されたりハードコードされた資格情報を避けます。パスワードは定期的にローテーションするか、自動化ツールを通じて管理する必要があります。
使用を制限する#
サービスアカウントは対話型ログインを許可すべきではありません。潜在的な侵害を抑えるために、各サービスまたはアプリケーションに一意のアカウントを割り当てます。
未使用のアカウントを積極的に無効化する#
アカウントが使用されなくなった場合は、直ちに無効化する必要があります。定期的なPowerShellクエリが古いまたは非アクティブなアカウントを特定するのに役立ちます。
役割を分離する#
アプリケーションサービス、データベースアクセス、ネットワークタスクなど、異なる機能のために個別のサービスアカウントを作成します。この区分化により、1つの侵害の影響範囲が縮小されます。
必要な場所にMFAを適用する#
サービスアカウントは対話型ログインをサポートすべきではありませんが、一部のケースでは例外が必要になることがあります。これらのエッジケースでは、MFAを有効にしてセキュリティを強化します。
専用の組織単位を使用する#
特定の組織単位(OU)にサービスアカウントをグループ化することで、ポリシーの施行と監査が容易になります。また、異常を見つけやすくし、一貫性を維持するのに役立ちます。
依存関係とアクセスを見直す#
環境が進化するにつれて、各サービスアカウントが何に使用されているか、同じレベルのアクセスがまだ必要かどうかを再評価します。必要に応じてアカウントを調整または廃止します。
Specops Password Auditorは、Active Directoryの読み取り専用スキャンを実行して、弱いパスワード、未使用のアカウント、その他の脆弱性を特定しますが、AD設定を変更することはありません。組み込みのレポートとアラートにより、セキュリティチームは侵害が発生するのを待つのではなく、ADサービスアカウントのリスクに積極的に対処できます。パスワード管理、ポリシー施行、監査を自動化することで、セキュリティを強化し、管理の負担を軽減します。無料でダウンロード。
問題を見つけることは一つのことですが、予防にも焦点を当てる必要があります。この記事で紹介した他のベストプラクティスを手動で実装することは簡単ではありません。幸いなことに、Specops Password Policyのようなツールは、これらのプロセスの多くを自動化し、Active Directory環境全体でこれらのベストプラクティスを管理可能かつスケーラブルな方法で施行するのに役立ちます。Specops Password Policyのデモを予約する。
翻訳元: https://thehackernews.com/2025/06/are-forgotten-ad-service-accounts.html