狙われるActive Directory、注意すべきイベントIDと保護に有効なツールとは？

　JPCERTコーディネーションセンター（JPCERT/CC）が「ログを活用したActive Directory（AD）に対する攻撃の検知と対策」というレポートを公開し、サイバー攻撃リスクへの注意喚起を行ったのは2017年だが、今なおADにより認証基盤構築やリソース管理を行う組織は多い。ランサムウェア被害でも、ADが狙われた事例が少なくない。

　AD攻撃への対策では、デバイスを常に最新の状態に保ち、脆弱性を解消しておくことに加え、イベントログの調査も重要になる。そのためのツールとしてWindowsには「イベントビューアー」が搭載されているが、テキストベースのUIのためやや分かりにくく、ログ発生件数の傾向分析、複数台のサーバのイベントログ管理などの作業工数がかさみがちだ。

　PowerShellやEvent Log Forwardingなどを利用する手もあるが、抜け漏れなくAD監査を行いたいなら、サードパーティー製の専門ツールが有力な選択肢になる。そこで本資料では、ADログの可視化およびアラート通知などが行える「AD監査支援ツール」を紹介する。注意すべきイベントIDやその調査方法についても解説しているので、日々の運用に活用してほしい。