米マイクロソフト（ＭＳ）のサーバー用基本ソフト（ＯＳ）「ウィンドウズサーバー2003」のサポート終了まで半年を切った。終了後はセキュリティー上の欠陥（脆弱性）があっても修正パッチが配布されない。しかし、ソフトウエアというのは一般の人が考えるほど完璧な製品ではない。時に未知の脆弱性が発見される。その一例が、ＭＳが2014年11月に公表したサーバー用ソフトの脆弱性だ。

　■チケットを盗み「黄金色」に書き換えてしまう

　赤枠部分の有効期限など、チケットの権限内容を書き換えて偽造できる

　　ＭＳは昨年11月、認証サーバー用の権限管理ソフト「アクティブディレクトリー」の脆弱性を公表した。当初はあまり話題とならなかったが、実は重大なリスクが潜んでいた。脆弱性を悪用し、情報セキュリティー関係者の間で「ゴールデンチケット」と呼ばれる攻撃を仕掛ければ、企業内の全てのパソコンを乗っ取ることもできるものだったのだ。企業が持つあらゆる情報が筒抜けになる可能性があり、関係機関は注意を呼びかけている。

　　アクティブディレクトリーはサーバー内にある社員のＩＤやパスワードなどの重要な情報を一元管理している。認証を受けて権限を与えられた人しか、サーバーやパソコンにアクセスできない仕組みだ。

　　例えば、一般社員がパスワードとＩＤなどを打ち込んで社内パソコンを立ち上げる場合や、システム管理者が一般社員それぞれのパソコンの設定を遠隔で変更する作業などで使用される。

　　問題となったのは「ケルベロス認証」と呼ばれる機能。その脆弱性を突けば、誰でもシステム管理者になりすまして、社内システムに自由に出入りできた。

　　攻撃のやり方は比較的単純だ。アクティブディレクトリーには、サーバーやパソコンにアクセスできる権限が記されたチケットを配る機能がある。まず攻撃者は標的型サイバー攻撃などで一般社員のパソコンを乗っ取り、そこからチケットを入手する。あとはチケットの権限内容を書き換えれば、システム管理者並みの権限を持てる。

　　問題の脆弱性は、いったんチケットを発行してしまうとその内容を再確認する機能が用意されていなかったことだ。攻撃者がシステム管理者と同じ権限の偽造チケットを保有していれば、何をやってもチケットを持っているという事実だけで見逃され、攻撃が止められない危険があった。チケットは発行後、有効期限が10時間しかない仕様になっていたが、期限を書き換えて「100年間有効」としてしまえば、半永久的にサーバーに入り込める。

　　権限内容を偽装して上位のシステム管理者になりすませば、ログ（動作記録）の保管期間も操作できる。全くログを残さない設定にしてしまえば、攻撃者に入り込まれたことすらわからない。