Active Directory ペネトレーションテストとは
企業 IT システムに Active Directory (AD) を導入している企業において、AD の停止は企業内すべての管理リソースがアクセス不能になる重大な事態となります。
また AD が攻撃された場合、ユーザー権限やリソースへのアクセス権も奪取され、システム管理上重大な脅威となります。
AD ペネトレーションテストは、ペネトレーションテストやテクニカル・リスク・ポイントのチェックを通じ、貴社 AD の脆弱性やセキュリティ耐性の調査を行うサービスです。
Active Directory ペネトレーションテスト概要
社内ネットワーク上の検査端末から AD に対し、攻撃者が用いる攻撃手法で模擬攻撃を行い、AD の脆弱性ならびに耐性をはじめとしたセキュリティの検査を行います。
検査はプロダクション環境とステージ環境どちらでも実施可能です
Active Directory ペネトレーションテストのメリット
現状を正確に理解できる
本診断を通じて、AD の環境や潜む脆弱性、セキュリティ耐性をより深く理解出来る
攻撃時の備えが出来る
攻撃者がどのような攻撃を行うかが理解出来るので、攻撃に対する備えを事前に取ることが可能です
実用的な対策が得られる
テストレポートを通じ、より具体的な対策をとっていただくことができます
防御体制の点検
模擬ハッキングによる攻撃の検知状況を検証することで、防御体制の点検にもなります
Active Directory ペネトレーションテスト項目例
| 区分 | シナリオ | 想定されるインシデント |
|---|---|---|
| AD アクセス制御 | AD の間違った構成エラー、AD Forest の悪用、未適用パッチの悪用 |
|
| AD 権限管理の不十分 | DCSync 攻撃、Active Directory ACL/ACE 乱用 |
|
| Kerberos チケットの奪取 | Resource Based Constrained Delegation 攻撃、Unconstrained Delegation 攻撃など |
|
| Kerberos チケットのクラック | AS-REP Roasting 攻撃、Kerberoaster 攻撃 |
|
| Kerberos のチケットの改ざん | Kerberos ゴールデンチケット攻撃、Kerberos シルバーチケット攻撃 |
|
| ネットワークスニッフィング/スプーフィング | NTLM リレー攻撃 |
|
| ネットワークのスキャン | NTDS.dit ファイルにあるパスワードハッシュのクラック |
|
| セキュリティパッチ未適用 | 既知脆弱性を利用した権限昇格 |
|
Active Directory ペネトレーションテスト対象
オンプレミス
- Windows Server 2008/44
- Windows Server 2008 R2/47
- Windows Server 2012/56
- Windows Server 2012 R2/69
- Windows Server 2016/87
- Windows Server 2019/88 (2021 年 3 月対応予定)
クラウド
- Azure AD に対してのペネトレーションテストは現在準備中です。ご要望がございましたらご相談ください。
注意事項
- 本テスト作業は、Active Directory のドメインに参加可能なクライアント端末へリモートで接続して実施します。
オンサイトで実施をご希望の場合は、別途費用を頂戴しております。
Active Directory ペネトレーションテストの流れ
サービスご提供の標準的な流れは以下の通りです。
- ステップ 1
-
ご相談および情報取集と分析(弊社にて実施)
- ヒアリングなどでテスト対象に関する情報を収集し、分析を行います。
- 分析結果により、テストの可否や具体的なテスト方法を検討します。
- ステップ 2
-
テスト方法の設計と提案書作成(弊社にて実施)
- 分析結果を元に、テスト方法とテストの実施要件などを含む提案書を作成します。
- ステップ 3
-
ご提案
- 提案書をご提示し、テスト対象、実施方法の認識合わせを行います。
- 要件や要望が満たされるまで何度かステップ 2 と 3 を繰り返す場合も御座います。
- 提案内容の合意が取れましたら、正式見積をご提示します。
- ステップ 4
-
ご発注と事前の準備作業
- ご発注後に、テスト実施計画書を作成し、テストの進め方について事前の打合せを開催させて頂きます。また、事前の準備作業を行います。
- ステップ 5
-
ペネトレーションテスト実施
- ペネトレーションテストを実施します。
Active Directory ペネトレーションテスト報告書
ペネトレーションテスト終了後 15 営業日程度で報告書をご提出いたします。
Active Directory ペネトレーションテスト よくある質問と回答
Active Directory ペネトレーションテストについてよくある質問と回答をまとめております。
一般的な内容
- テスト実施中に何か対応する必要はありますか?
お客様に実施頂くことは御座いませんが、作業途中で発生した問題のご相談やご対応をお願いする場合が御座います。
- 相談してからのリードタイムはどれくらいでしょうか?
標準的なリードタイムは、以下の通りです。
ご相談から提案書提示まで:2 週間程度
作業期間:準備期間も含め標準的なテスト内容で 3 週間程度- AD がハッキングされるとどのような障害が起きるのですか?
AD は社内システムにおいて中央指令室のような存在なため、AD がハッキングされると AD が管理しているリソースや情報の侵害をもたらし、重大なセキュリティ事故に発展する可能性があります。
ここ近年国内でも重大なセキュリティ事故で、AD のハッキングが関連しているものが多数発生しております。
技術的な内容
- 診断にあたり、どのような情報を提供する必要がありますか?
以下の情報の提供をお願いしております。
- OS バージョン、AD バージョン
- AD の構成要素、テスト対象が分かるネットワーク構成図
- 実施しているセキュリティ対策 (権限管理:ユーザポリシー、プログラムの設置権限、その他、内部セキュリティポリシー、その他)
本テストは、分析と攻撃の実行を何度か繰り返し、どの攻撃が有効かをテストします。
情報開示が多い方が、限られた時間でより多くの攻撃の有効性をテストすることが可能となります。- AD ペネトレーションテストを受けるには、どのような条件がありますか?
以下の条件を満たす必要があります。
クライアント端末から攻撃者が使う攻撃手法を用いて AD をテストします。そのために、テスト対象の AD (ドメイン) に参加可能なクライアント端末と、端末の ログイン ID とパスワードを提供頂く必要があります。
また、クライアント端末にテスト用のツールをインストールさせて頂く必要があります(お客様にてインストール頂くことも可能です) 。テスト方法は、リモートでもオンサイトでもどちらでも可能です。オンサイトの場合は、別途費用を頂戴しております。
- 通常の Web アプリケーション診断では AD の診断は行わないのですか?
行われません。Web アプリケーション診断は、Web アプリケーションに特化した診断となり、AD ペネトレーションテストは AD に特化した診断(テスト)となります。
本サービスはアイティーエム株式会社の調査技術を採用しています。
お問い合わせください
Active Directory ペネトレーションテストに関するご質問や、価格お見積りをはじめ詳細内容をお聞きになられたい場合、お問い合わせフォームよりサイバートラストまでお問い合わせください。その際、お問い合わせ内容に「Active Directory ペネトレーションテストについて」とお書き添えいただけますと幸いです。
脆弱性診断レポート 2020
サイバートラストでは、お客様からご依頼頂いた診断とその結果から、昨年のサイバーセキュリティに関する傾向をまとめ、レポートとしてご提供させていただいております。
下記よりメールアドレスをご登録いただく事で資料がダウンロードいただけます。
※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきます。確認メール内の URL をクリックして頂き、その後資料のご案内をいたします。
プロフェッショナルによる脆弱性診断サービスについての詳細は、
以下のフォームよりお問い合わせください
