AppGuard BlogAPPGUARD BLOG
セキュリティ対策

2026.06.17

攻撃者に狙われる宝の山、
ADサーバをどう守るか

 日々利用するIDやパスワードは、個人を特定するために重要な認証情報です。しかし、裏を返せば認証情報は攻撃者にとって「宝の山」であり、攻撃者が認証情報を入手してしまえば、表玄関から堂々とシステムへ出入りすることを許してしまうことになります。本稿では、その認証情報をつかさどるADサーバのセキュリティについて考えてみたいと思います。

 

 

 

 

1. 攻撃者が優先的に狙う「認証情報」

blog_260619_img1

 企業情報を狙う攻撃者が、社内ネットワークに侵入した後に最優先で探すものがあります。それは、サーバに蓄積されている業務データそのものではなく、「認証情報(IDとパスワード)」です。中でも、社内システムに特権を持つ特権ユーザIDが攻撃者にとって価値ある情報です。

 社内のPCやサーバを一括管理するために「Active Directory (AD)」を運用している企業も多いと思いますが、ADサーバは社内の認証情報が集中管理されている攻撃者にとって、まさに「宝の山」です。

 攻撃者は、クライアントPCや企業ネットワークへの初期侵入を成功させたのち、まず認証情報の窃取(Credential Dumping)を試みます。これ(窃取)を許してしまうと、社内ネットワーク上のPCに対するアクセス権が奪われてしまいます。攻撃者は窃取した情報を用いて権限昇格やネットワーク内の横展開(ラテラルムーブメント)を図り、最終的にドメイン全体の管理者権限の掌握や、ADサーバからの情報窃取を狙います。

 攻撃の筋道は多様ですが、これらを行わせないためには、(1)侵入口を塞ぐこと、(2)侵入を前提とした対策を施し、仮に侵入したとしても攻撃者の望む結果にさせないこと(または「目的を達成させないこと」)が重要です。

 

 

 

2. 侵入口を塞ぐ

blog_260619_img2

 ADサーバや、サーバが接続されている社内ネットワークへの侵入方法にはどのようなものがあるのでしょうか。MITRE ATT&CKで定義されている初期侵入方法としては、下記のようなものが代表的です。

 

blog_260618_table

 

 

 

3. ネットワークとADサーバに対する侵入前提の対策

blog_260619_im3

 Windowsサーバ、特に重要な認証情報が取り扱われているADサーバの安全性を高めるために、サーバ自身やサーバへアクセスするクライアントPCが攻撃されてしまった場合に備えて、(1)ラテラルムーブメントの抑制、(2)ADサーバの要塞化を行うことによって、侵入者の「目的達成」を防ぐことが重要です。

 

(1) ラテラルムーブメントの抑制

 攻撃者は目的のADサーバへたどり着くため、クライアントPCを踏み台として利用することが多くあります。このように、ネットワークに接続されたクライアントPCから別の端末へと移動する行為を「ラテラルムーブメント」と言います。

 これを防止するには、ネットワーク通信の管理単位をきめ細かくし、不要な通信を排除する「マイクロセグメンテーション」が有効です。一方で、マイクロセグメンテーションで完璧を目指そうとした場合、ネットワークの通信状況を隅々まで把握・理解・設計・設定・運用する必要があり、ネットワーク環境によっては大きな労力を要してしまうことも事実です。

 まずは極めて必要性が低いと考えられるクライアントPC同士の通信遮断を行い、次のステップとしてADサーバとの認証に必要となるプロトコルのみをクライアントとの間で許可する、といった形で、少しずつでも把握と実践が可能な部分からセキュリティを向上させていくアプローチも有効です。

 

(2) ADサーバの「要塞化」


 ADサーバやクライアントPCではEDRやアンチウイルス・アンチマルウェアの製品を利用しているケースがほとんどですが、これらのソリューションでは検出しづらい未知のウイルス・マルウェアの着弾や、人間が介在した高度なLotL(Living off the Land=環境寄生型攻撃)に対しては、防御の有効性を発揮できない場合があります。

 たとえ、ADサーバに侵入されたとしても「要塞化」を行うことで攻撃者が目的を達成できないようにする対策は、「最後の一線」を守る防御アプローチとして極めて有効です。「要塞化」は「行って良い動作」をOSレベルで規定し、同じプログラムの動作でも、許容可能な動作とそうでない挙動を厳密に分離します。これにより、ADサーバにとって無害な動作のみを行わせるよう、OS内部のプログラムの命令実行レベルにおける「ゼロトラスト」的アプローチでサーバの保護レベルをさらに向上させます。

 「要塞化」は、既知・未知を含めて攻撃に該当する動作を防止することで、最後の一線を守ることができるセキュリティ技術です。ADサーバだけでなく、クライアントPCにも「要塞化」を導入することで、万が一クライアントPCユーザがフィッシングメール等でマルウェアを実行してしまっても、その攻撃(マルウェアの感染動作)自体を無効化し、企業ネットワーク全体の侵入・攻撃に対する堅牢性をさらに向上させることが可能です。

 

 

 

4. まとめ

 ADサーバのセキュリティは、外部からの攻撃やウイルスやマルウェアの被害を防ぐ「境界防御」だけでなく、「社内に入り込まれてしまったときに、いかに被害を小さく抑えるか・目的を達成させないか」といった内部対策が最終的な防衛線となり得ます。

 攻撃の足掛かりとなる脆弱性を防ぐために必須となる定期的なパッチ適用に加え、「要塞化」と「マイクロセグメンテーション」、この2軸で、大切な社内資産を守る体制を整えていきましょう。

 

 「要塞化」を実現する対策として、弊社のAppGuardがあります。

 アンチウイルスやアンチマルウェア、EDR製品と並行運用可能な、独自技術を用いた防御アプローチを提供します。EDR・アンチマルウェア・ホワイトリスト型セキュリティとは異なり、PCやサーバを「要塞化」することで未知の脅威や環境寄生型攻撃を無効化し、攻撃が成功するリスクを低減します。

AppGuard製品ページ / 製品に関するお問い合わせ / ホワイトペーパーのダウンロード

 

 

株式会社AppGuard|執筆:製品本部

※株式会社Blue Planet-worksは「株式会社AppGuard」へ社名変更いたしました。また、2026年4月1日より「AppGuard Enterprise」および「AppGuard Small Business Edition」は「AppGuard Workstation」へ統合・名称変更いたしました。

 

 

この記事を読んでいる方はこんな記事も読んでいます