マルチファクタ認証の限界

組織は通常、マルチファクタ認証（MFA）を導入し、盗まれたパスワードだけではシステムにアクセスできなくなると想定します。しかし、Windows環境ではその想定はしばしば間違っています。攻撃者は依然として有効な資格情報を使ってネットワークを侵害しています。

MFA自体が問題ではなく、カバレッジの問題です。Microsoft Entra ID、Okta、またはGoogle Workspaceなどのアイデンティティプロバイダー（IdP）を通じて強制されるMFAは、クラウドアプリやフェデレーションサインインでうまく機能します。しかし、多くのWindowsログオンは、クラウドIdPがトリガーしないActive Directory（AD）認証パスに依存しています。

Windows認証パスが漏れている7つの場所

• インタラクティブWindowsログオン（ローカルまたはドメイン参加）

  ユーザーがWindowsワークステーションまたはサーバーに直接サインインすると、認証は通常、AD（KerberosまたはNTLM経由）によって処理されます。クラウドIdPは関与しません。

• 条件付きアクセスをバイパスする直接RDPアクセス

  RDPは、Windows環境で最もターゲットにされるアクセス方法の1つです。RDPセッションを直接サーバーに確立すると、クラウドベースのMFAコントロールを通らないため、ログオンは基本的にはAD資格情報に依存します。

• NTLM認証

  NTLMは、互換性のための理由で依然として存在する、非推奨の認証プロトコルです。パスワードを必要としないpass-the-hash攻撃をサポートするため、攻撃者の攻撃ベクトルとして一般的です。

• Kerberosチケットの乱用

  KerberosはADの主要な認証プロトコルです。攻撃者は、権限の高いアカウントを侵害した後、Kerberosチケットをメモリから盗んだり、偽造チケットを生成したりします。

• ローカル管理者アカウントと資格情報の再利用

  組織は依然としてローカル管理者アカウントをサポートタスクやシステム復旧のために使用しています。ローカル管理者パスワードがエンドポイント間で再利用される場合、攻撃者は1つの侵害を広範囲のアクセスに拡大できます。

• サーバーメッセージブロック（SMB）認証と側面移動

  SMBはファイル共有とリモートアクセスに使用され、攻撃者が有効な資格情報を持っている場合、SMBは側面移動の最も信頼性の高いパスの1つです。

• MFAをトリガーしないサービスアカウント

  サービスアカウントは、スケジュールされたタスク、アプリケーション、統合、およびシステムサービスを実行するために存在します。これらのアカウントは、自動化された認証を保護するのが難しいため、MFAを保護するのが難しい場合があります。

Windows認証のギャップを閉じる方法

セキュリティチームは、Windows認証を独自のセキュリティ面として扱うべきです。セキュリティチームがとるべき実践的なステップは次のとおりです：

• ADでより強力なパスワードポリシーを強制する
• 不正使用されたパスワードを継続的にブロックする
• レガシ認証プロトコルへの露出を減らす
• サービスアカウントを監査し、権限の増加を抑制する

Specopsの役割

Specops Password Policyは、柔軟なパスワード制御を適用し、マイクロソフトが提供するものよりも強力な保護を提供します。

元記事: https://thehackernews.com/2026/03/where-multi-factor-authentication-stops.html