Active Directory侵害時のパスワードリセットの限界

概要

Active Directory（Windows環境の認証管理システム）で攻撃者に侵害されたとき、単にパスワードをリセットするだけでは攻撃者を排除できないという重要な問題が明らかになりました。Specops Softwareの分析によると、攻撃者はパスワード変更後も「キャッシュ認証情報」（デバイス内に一時保存される認証データ）と「Kerberosチケット」（Active Directoryの認証を継続する特殊なトークン）を利用して、システムへのアクセスを維持できます。つまり、パスワードを変更してもこれらの仕組みが残っていれば、攻撃者は認証された状態を保ち続けるため、組織全体が継続的な脅威にさらされることになります。

元記事（BleepingComputer）