「Netlogon」脆弱性（ZeroLogon）への対処を！ ～Microsoftが改めて警告

“Microsoft Security Response Center”の記事

　米Microsoftは10月29日（現地時間）、「Netlogon」の脆弱性（CVE-2020-1472）を悪用した攻撃が継続しているとの報告が顧客から少なからず寄せられているとして、注意を喚起する文書を発表した。

　この攻撃は“ZeroLogon”とも呼ばれており、「Netlogon」リモートプロトコル（MS-NRPC）の欠陥をついてドメインコントローラー（DC）のアカウントになりすまし、ドメインの認証情報を盗み出して乗っ取る。Microsoftは2020年8月の月例更新でこの問題に対処し、IT管理者向けのガイダンスも公表しているが、まだ対策が行われていないドメインは少なくないようだ。

　同社はオリジナルのガイダンスに掲載されていたFAQをアップデートするとともに、以下の4つの対策を徹底するよう呼び掛けている。

• 更新：DCに2020年8月以降のアップデートを適用すること
• 発見：イベントログを監視し脆弱性のある接続を行っているデバイスを見付ける。この脆弱性は非Windowsマシンにも影響する
• 対処：脆弱な接続を行っているデバイスは“安全な RPC”を使用するように対処する
• 有効化：ドメイン内で“安全な RPC”接続を必須にする。Microsoftは互換性を考慮し、初期段階フェイズ（すでに開始）と強制フェイズ（2021年2月）の2段階に分けて脆弱な接続のブロックを実施しているが、強制フェイズを待たずに“安全な RPC”接続を強制することも検討すべきだろう

　なお、「Microsoft Defender for Identity（旧Azure Advanced Threat Protection）」や「Microsoft 365 Defender（旧Microsoft Threat Protection）」を導入している場合はDCに対して本脆弱性を悪用しようとする攻撃を検出できるとのこと。導入済みの組織は活用したい。