マイクロソフトは最新のWindowsプレビュー版で、サイバー攻撃者が管理者権限を悪用するのを防ぐための新機能「Administrator Protection」を導入した。この機能は、従来のスプリットトークンモデルを廃止し、特定のタスクに限定された「シャドウ管理者アカウント」を作成して権限を管理する。これにより、攻撃者が管理者権限を長時間保持して悪用するリスクを大幅に低減させる狙いがある。

管理者権限の昇格を制限する「Administrator Protection」

マイクロソフトは、Windows 11のプレビュー版で管理者権限をより厳密に管理する新機能「Administrator Protection」を発表した。この機能は、従来の管理者権限の扱いを再構築し、特定のタスクに必要な場合のみ権限昇格が許可される「ジャストインタイム」モデルを導入するものである。これにより、サイバー攻撃者が管理者権限を長期間保持して悪用するリスクが大幅に減少する。

従来のWindowsの権限管理は、ユーザーアカウント制御(UAC)を利用して、通常の操作では標準ユーザーとして動作し、管理者権限が必要な操作に対して昇格を求める「スプリットトークン」方式で行われていた。しかし、この方式では、権限昇格が行われた後に悪意あるソフトウェアがその権限を悪用する余地が残っていた。Administrator Protectionは、昇格後の権限を隔離されたシャドウアカウントに限定することで、この脆弱性を解消する。

この新機能により、管理者権限を持つアカウントでも、昇格した権限がタスク終了後に自動的に削除され、攻撃者がその権限を利用することが極めて困難になる。これにより、サイバーセキュリティの観点からWindows環境の安全性が向上している。

サイバー攻撃者による横移動を防ぐ仕組み

新機能「Administrator Protection」は、サイバー攻撃者がシステム内部で横移動する手法に対しても強力な防御を提供する。この手法は、攻撃者が1つのアカウントにアクセスした後、その権限を利用してシステム全体を侵害するもので、特に管理者権限を利用した「Living-off-the-Land」攻撃が有名である。この種の攻撃では、PowerShellや既存のシステムサービスを使用して、外部からの新しいツールを導入することなく攻撃が行われる。

Administrator Protectionは、管理者権限の昇格が短時間かつ特定のタスクに限定されるため、攻撃者がこうした方法で横移動を行う余地を大幅に減少させる。管理者アカウントが一時的に作成されるため、攻撃者がこの権限を利用して他のシステムやデータにアクセスすることが難しくなる。

さらに、攻撃者が権限昇格を試みても、その時間的な制約が厳しく、攻撃の成功率は低下する。この制限によって、企業はサイバー攻撃に対する防御策をより強化でき、従来のパス・ザ・ハッシュ攻撃や特権昇格を伴う横移動の脅威を効果的に軽減することができる。

従来のスプリットトークン方式との違い

従来のWindowsの管理者権限昇格は「スプリットトークン」方式に依存していた。この方式では、管理者アカウントに2つのトークンが付与され、通常は標準ユーザーとしての操作が行われ、必要な場合にのみ管理者権限が昇格される。この方式は、一定のセキュリティを提供していたが、昇格された権限が長時間維持されるため、攻撃者にとっては依然として悪用の余地が残されていた。

スプリットトークン方式の主な問題点は、管理者権限が一度昇格されると、バックグラウンドで動作するマルウェアなどがその権限を乗っ取り、悪意のある操作を行う可能性があったことである。特に、昇格された権限が永続的に使用可能であるため、攻撃者にとっては非常に魅力的なターゲットとなっていた。

これに対して、Administrator Protectionは、昇格された管理者権限を一時的なものにし、特定のタスクが終了次第、その権限を削除する。これにより、従来のスプリットトークン方式に比べて、攻撃者が権限を悪用するリスクが大幅に減少する。また、システム全体のセキュリティ姿勢も大きく向上している。

企業にとってのセキュリティ監視の強化

Administrator Protectionは、企業にとってもセキュリティ監視を強化するための有効なツールとなる。特権アカウントの使用が特定のタスクに限定され、シャドウアカウントとして作成されるため、管理者権限の不正利用をリアルタイムで監視しやすくなる。企業は、これらの短期間存在する管理者アカウントの動作を追跡し、異常な動きを検出することができる。

さらに、この新しいセキュリティ機能により、特権アカウントの利用状況をより詳細に把握できるため、セキュリティチームは潜在的な脅威を早期に発見することが可能となる。例えば、短期間の管理者権限の動作が通常の業務と異なる場合、攻撃の兆候として即座に対処することができる。

これにより、管理者アカウントが「フリーライダー」のようにシステム内を自由に移動することが減少し、企業のセキュリティ体制は大幅に強化される。また、従来の管理者権限管理方法に比べて、より細かい監視と制御が可能となり、企業のセキュリティリスクは大幅に低減する。