Microsoft Defender予測シールドでAD攻撃を阻止

はじめに

IDベースの攻撃は、1台の侵害されたサーバーから数時間でActive Directoryドメイン全体の制御へとエスカレートする可能性があります。Microsoftの最新のセキュリティ調査は、Microsoft Defenderのpredictive shieldingが、攻撃者が盗んだ資格情報を実用化する前に、露出した特権アカウントを事前に制限することで、その経路を遮断できることを示しています。

セキュリティチームにとって重要なのは、従来の対応では、悪意あるアカウント利用が観測されてから初めて対処が始まることが多い点です。predictive shieldingは、資格情報が露出した可能性に対してほぼリアルタイムで対処することで、このモデルを変えます。

新機能

Microsoftは、2025年に実際に発生した公共部門への攻撃チェーンを取り上げ、現在Microsoft Defenderのautomatic attack disruptionの一部となっているpredictive shieldingが、どのように結果を変えるかを説明しました。

主な機能は次のとおりです。

• デバイス上での資格情報窃取に関連する侵害後アクティビティを検出
• どの高特権IDが露出した可能性が高いかを評価
• 資格情報の悪用とラテラルムーブメントを制限するjust-in-time制限を適用
• 対応担当者が調査している間、機密性の高いID操作への攻撃者アクセスを削減

この調査では、攻撃者がIIS Webシェルからローカル権限昇格、Mimikatzによる資格情報ダンプ、その後のドメインコントローラーアクセス、Exchange委任、Impacketツールの悪用へと移行した様子が示されました。

predictive shieldingが役立つ仕組み

Microsoftが説明したインシデントでは、攻撃者は初期アクセスからドメインレベルの操作へと急速に進行し、次のような行動を取っていました。

• LSASS、SAM、そのほかの資格情報データをダンプ
• ドメインコントローラー上にスケジュールタスクを作成
• オフラインでの資格情報悪用を目的にNTDSデータへアクセス
• Exchange ServerにWebシェルを設置
• メールボックス委任権限を列挙して悪用
• Impacket、PsExec、secretsdumpなどのツールを使ってラテラルムーブメントを実行

Microsoftによると、predictive shieldingは、悪意ある利用が確認されるまで待つのではなく、アカウントが露出した可能性が高い瞬間に制限を適用することで、このパターンをより早い段階で遮断できます。このアプローチは、資格情報窃取と防御側の対応との間にある「スピードギャップ」を埋めることを目的としています。

IT管理者への影響

ハイブリッドIDやオンプレミスのActive Directoryを管理する防御担当者にとって、これは重要です。ドメイン侵害の封じ込めは容易ではありません。なぜなら、管理者は業務を中断させることなく、ドメインコントローラーや中核となるIDサービスを単純に停止することができないからです。

predictive shieldingは、次の方法で、SOCチームやIDチームに自動化された封じ込めの新たなレイヤーを提供します。

• 資格情報窃取イベント中に高特権アカウントを保護
• サーバーやIDインフラ全体にわたる攻撃者のラテラルムーブメントを遅延
• パスワードリセット、ACL検証、krbtgtローテーションなどの修復作業のための時間を確保

この機能は、Defenderの前提条件を満たすMicrosoft Defender for Endpoint P2のお客様向けに、すぐに利用できる機能強化として提供されています。

次のステップ

セキュリティ管理者は次の対応を進めるべきです。

• Microsoft Defenderのautomatic attack disruption設定を確認
• predictive shieldingの利用資格と前提条件を確認
• IIS、Exchange、ドメインコントローラーの露出経路を強化
• 特権IDと委任権限を監査
• ドメイン侵害シナリオ向けのインシデント対応プレイブックを検証

重要なポイントは明確です。現代のラテラルムーブメント手法からActive Directory環境を防御するには、プロアクティブなID封じ込めが不可欠になりつつあります。