Microsoft Defender が活用する AI の能力:AD 内のプレーン・テキスト資格情報を探して特定する

Microsoft Defender AI to Uncover Plain Text Credentials Within Active Directory

2025/08/19 CyberSecurityNews — Microsoft が発表したのは、サイバー・セキュリティにおける根深い脆弱性の一つである、Active Directory (AD) のフリーテキスト・フィールドに保存された、プレーン・テキスト資格情報に対処する、AI を活用したセキュリティ機能に関する情報である。Microsoft Defender for Identity の新しいポスチャ・アラートは、人工知能を活用するものであり、これまでにはない精度により、露出している資格情報を検出するものだ。それにより、ユーザー組織は、ID ミスコンフィグ を特定し、悪用される前の修正を可能にする。

Active Directory や Microsoft Entra ID などの、ID システム内のプレーン・テキスト・フィールドに資格情報を保存するという問題は、深刻な状況を引き起こしている。

主なポイント
  • Microsoft Defender は、AI を使用して Active Directory 内のプレーン・テキスト資格情報を検出する。
  • 2,500 のテナントで 40,000 件以上の露出した資格情報を発見。
  • 現在は Defender ポータルでパブリック・プレビュー中である。

Microsoft の初期調査では、2,500 のテナントで 40,000 件以上の露出した資格情報が明らかにされ、このセキュリティ脆弱性の広範に及ぶ性質が浮き彫りとなった。

これらのフリー・テキスト・フィールドは、人事システム/メール署名ツール/PAM (Privileged Access Management) ソリューション向けの非構造化データを格納するために設計されているが、その柔軟性と管理の容易さから、機密情報の保管場所となることが多い。

認証情報検出における階層化 AI アプローチ

この新しいセキュリティ機能は、認証情報を検出するための、高度な階層化インテリジェンス・アプローチを採用している。

最初に、このシステムは、ID ディレクトリを包括的にスキャンし、Base64 エンコードされたシークレットや、既知のパスワード構造に一致する文字列といった、認証情報漏洩の可能性に対してフラグ付けを行う。

さらに高度な AI モデルが、関連する ID の種類/値の安定性/最近の変更/自動化スクリプトやログ内の参照といった、コンテキスト要因を分析していく。

人間よりも遥かに多く存在する NHI (Non-human identities) は、多要素認証 (MFA) などの従来の認証方法を利用できないため、この種の脆弱性によるリスクが極端に大きくなる。

また、トラブル・シューティングを簡素化したい管理者は、AD オブジェクトの説明/情報フィールドに、サービス・アカウント資格情報をよく保存する。そのため、攻撃者にとって価値の高い標的となる。

Remove discoverable passwords in Active Directory account attributes
Remove discoverable passwords in Active Directory account attributes

その一方で、AI を悪用する列挙ツールの速度とスケールにより、侵害に費やされる時間が、数時間から数秒に短縮されているため、プロアクティブな検出が重要となっている。

パブリック・プレビューでの提供状況

Microsoft Defender for Identity のユーザーは、パブリック・プレビューを通じて、この新しいポスチャ推奨事項にアクセスできる。

この機能は、Defender ポータルの “Exposure Management” セクションで利用できる。ここで、ユーザー組織に該当する特定の推奨事項を検索し、潜在的な資格情報漏洩を特定できる。

この AI を組み込んだポスチャ管理アプローチにより、セキュリティ・チームが可能にするのは、これまでは攻撃者のみが利用できた速度とスケールを用いて、攻撃が発生する前に実施する、プロアクティブな脅威の軽減である。

このテクノロジは、ID セキュリティにおける大きな進歩であり、郵便箱の中に置き忘れている玄関のカギのような、サイバー・セキュリティ上の脅威を、組織として排除するための強力なツールを提供する。

本来は自由な入力のためのテキスト・フィールドに、資格情報が保存されてしまうという使われ方に起因する、Active Directory の脆弱性が、よく分かる記事ですね。柔軟さや利便性から、管理者がサービス・アカウントのパスワードなどを、ここに書き込むケースが多く、その結果としてプレーン・テキストで資格情報が残ってしまうと、この記事は指摘しています。それが、Defender の AI により解決されるなら、とても素晴らしいことです。よろしければ、Defender で検索も、ご参照ください。