Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

LDAPクエリ

LDAPは、企業環境内のユーザー、デバイス、およびサービスを管理するために広く使用されているプロトコルです。IDおよびアクセス管理の重要な部分ですが、攻撃者が偵察、特権の昇格、データの流出を行う手段にもなり得ます。

定義
仕組み
攻撃者がそれを使う理由
検知
よくあるご質問(FAQ)
定義

LDAPクエリーとは?

LDAP(Lightweight Directory Access Protocol)クエリは、ディレクトリサービスに情報を要求するコマンドである。これにより、アプリケーションはActive Directoryなどのサービス上のデータに素早くアクセスし、管理することができる。また、攻撃者がユーザー認証情報やその他の機密データを取得するために使用する手法でもあります。

仕組み

LDAPインジェクション攻撃の仕組み

LDAP攻撃は、攻撃者が悪意のあるコードをLDAPクエリに注入することで起こります。SQLインジェクションのように、適切な入力バリデーションがないことを悪用し、攻撃者は特殊文字を追加することでクエリを操作し、そのロジックを変更することができます。その結果、攻撃者は以下のことが可能になります:

  • 認証をバイパスする:攻撃者は実際のユーザー名やパスワードを知らなくても、クエリを操作してログインすることができる。
  • 特権のエスカレーション 攻撃者はLDAPクエリーを使用して、高い権限を持つサービスアカウントやユーザーを特定し、脆弱性や設定ミスを利用して権限をエスカレートさせる。
  • データの流出: 攻撃者は、過剰または異常なLDAPクエリを使用して、ディレクトリからユーザー名、パスワード、その他の機密データを抜き取ります。
  • ディレクトリを列挙する: 攻撃者はしばしば LDAP クエリーを使用してユーザーとグループのメンバーシップを列挙し、AD 環境をマッピングします。
  • 認証情報を収集する: 悪意のある LDAP クエリを使用して、パスワード・ポリシー、パスワードの有効期限、およびアカウントのロックアウト・ポリシーに関する情報を収集し、攻撃者がパスワード攻撃に備えることができます。

LDAPクエリ中に収集された情報は、攻撃者がより巧妙な戦術を計画し、実行する際に役立つことがよくあります。極端な場合、攻撃者はディレクトリ・サービスを完全に制御しようとし、ネットワーク・リソースやシステムへの広範なアクセスを引き起こします。

LDAPクエリー注入処理
攻撃者がそれを使う理由

攻撃者がLDAPディレクトリを狙う理由

攻撃者がLDAPディレクトリを標的にするのは、ユーザ・アカウントやネットワーク構造に関する機密情報が含まれていることが多いからです。LDAPクエリは、攻撃の初期段階で、ディレクトリサービス内のユーザー、グループ、コンピュータ、およびその他のオブジェクトの詳細を収集する方法として使用されます。

プラットフォーム検出

LDAP クエリの脅威を防ぐ方法と検知

悪意のあるLDAP検索クエリを阻止するために、セキュリティチームが取るべき最も重要なステップは、脅威の検出とレスポンス 。しかし、いくつかの予防策は、LDAPベースの脅威の脅威を軽減するのに役立ちます。これらには次のようなものがあります:

  • 役割ベースのアクセス制御(RBAC):LDAPクエリーを実行できるアカウントを制限し、機密属性へのアクセスを制限する。特権アカウントのみが、グループ・メンバーシップやパスワード属性のような重要な情報にアクセスできるようにする。
  • ネットワークのセグメンテーション: 機密性の高いディレクトリサービスを一般的なネットワークトラフィックから分離し、攻撃者が横方向に移動して LDAP サーバーに問い合わせることを困難にします。
  • 暗号化LDAP over SSL(LDAPS)を使用してLDAPトラフィックを暗号化し、送信中の傍受や改ざんを防止します。
  • 強力な認証と監視:特権アカウントに多要素認証(MFA)を導入し、アクティビティを注意深く監視する。これにより、攻撃者が盗んだ認証情報を使用してLDAPクエリを実行することが難しくなります。
  • 頻繁な監査: LDAPのパーミッションとクエリーパターンを定期的に監査し、設定ミスや不正使用の兆候がないことを確認する。

攻撃者がネットワークにアクセスしたら、検知 、本格的な侵害に至る前に脅威に対応しなければなりません。重要なのは、LDAPトラフィックをリアルタイムで分析し、セキュリティアナリストがActive Directoryの脅威を迅速に特定して対処できるようにすることです。 

そのための一つの方法は、LDAPトラフィックを監視し、ログを取ることである。LDAPログを定期的に収集し、異常なパターンがないか分析する。組織によっては、事前に定義されたルールに基づいて不審なクエリにフラグを立てるSIEMに依存している。

しかし、より効果的な方法は、AI主導 振る舞い アナリティクスを活用し、検知 疑わしいLDAPクエリを行うことです。Vectra AI Platformは、正常なLDAPアクティビティのベースラインを構築することでこれを実現し、潜在的な悪意のあるアクティビティを示す逸脱にフラグを立てることができる。

アイテムが見つかりませんでした。
すべての検出を調べる

高度な検出機能でネットワークを保護

疑わしいLDAPクエリの検出は、Vectra AI Platformで利用可能な数十の高度なAI主導 検出の1つであり、関連するMITRE ATT&CK テクニックの90%をカバーしています。これらを組み合わせることで、セキュリティチームは既知および未知の攻撃をその進行の初期段階で防ぐことができます。

プラットフォーム
さらに詳しく

よくあるご質問(FAQ)