Active Directory に対する新たな侵害の手法:同期資格情報の悪用とは? – Black Hat USA 2025

New Active Directory Attack Method Bypasses Authentication to Steal Data

2025/08/07 gbhackers — ハイブリッド Active Directory (AD) と Entra ID 環境の脆弱性を悪用し、認証を回避して機密データを窃取する新たな攻撃手法を、セキュリティ研究者たちが発見した。Black Hat USA 2025 において、サイバー・セキュリティ専門家である Dirk-jan Mollema が 発表した悪用の手法は、オンプレミスの AD と Azure Entra ID を同期させている組織を標的とし、侵害した同期資格情報を悪用して、自由なアクセスを取得するというものである。

この攻撃のコアとなるのは、オンプレミスの AD から Entra ID へと、ユーザー・アカウントと資格情報を複製するために使用される、Microsoft Entra Connect サービスである。横方向移動や資格情報ダンプツールにより Entra Connect 同期サーバを制御下に置く攻撃者は、同期サービスの証明書と秘密鍵の両方を抽出できる。

これらの秘密鍵を悪用する攻撃者は、有効な認証トークンを生成し、多要素認証や条件付きアクセスポリシーを回避して、Entra ID が受け入れる ID アサーションを偽造できるという。

Kerberos Ticket
Kerberos Ticket

偽造トークンを取得した攻撃者は、テナント内の任意のハイブリッド・ユーザーに成りすまし、特権ロールを含むディレクトリ・オブジェクト全体に対する完全な Read/Write 権限を取得する。なお、上記のハイブリッド・ユーザーは、AD から同期されたアカウントや “cloud-only” アカウントを使用するユーザーとなる。

Dirk-jan Mollema のデモが示すのは、権限の低いクラウド・ユーザーを “soft matching” により、同期済みのハイブリッド・アカウントに変換し、管理者権限を継承して検出を回避する手口である。

さらに、この手法を用いる攻撃者のアクションは、ディレクトリ・アクセスだけに留まらず、Exchange のハイブリッド・コンフィグの悪用にまでいたる。それにより、”trustedForDelegation” クレームを取り込んだ、Service-to-Service (S2S) トークンのリクエストも可能となる。その結果として攻撃者は、Exchange Online 内の任意のメールボックスになりすまし、メール/ドキュメント/コラボレーション成果物などを窃取できる。

この S2S トークンには署名がなく、24 時間の有効期間を持ち、発行時や利用時にログが生成されないため、セキュリティ・チームは侵害に気付きにくい。

Dirk-jan Mollema が、さらに提示したものには、Graph API ポリシーを操作する攻撃者が、条件付きアクセスや外部認証方法を変更し、バックドア認証情報の挿入や、適用制御の無効化を達成する手法もある。

Authenticating with backdoor Key
Authenticating with backdoor Key

Kerberos 認証に用いられるシームレス SSO (Single Sign-On) キーは、攻撃者が制御するキーによる置き換えやローテーションが行われ、キーの更新後であっても持続的なリモート・アクセスが可能となる。

Microsoft は、最近のパッチにおいて、Entra Connect を基盤とする複数の攻撃経路に対処し、同期アカウントが不要な Graph API 権限を取り消し、グローバル管理者のソフト・マッチング保護を強化している。

しかし、数多くのエンタープライズ環境においては、ハイブリッド Exchange サービスと 、Entra サービスが完全に分離されるまで、この脆弱性が残るという状況がある。Microsoft は、この分離を 2025年10月までに義務化する予定であるという。

ユーザー組織に対して強く推奨されるのは、同期サーバでの不正な証明書エクスポート監査/ハードウェアによるキー保管の強制/異常な Graph API 呼び出しの監視などである。それに加えて、Exchange ハイブリッド・アプリケーション分割の有効化/SSO キーの定期的なローテーション/サービス・プリンシパルにおける “Directory.ReadWrite.All” 権限の制限が、リスク軽減に有効になるという。

ハイブリッド ID の導入が進む中で、セキュリティ・チームにとって必要なことは、ゼロトラスト体制の採用であり、こうした同期サービスには、常に侵害の可能性があることを前提にして、防御計画を策定することである。

ハイブリッド Active Directory と Entra ID の同期環境を悪用する、新たな攻撃手法が発見されたようです。その原因は、Entra Connect サービスの同期証明書と秘密鍵が侵害される点にあり、それを悪用する攻撃者は、偽造トークンを生成できると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Active Directory で検索も、ご参照ください。