Trusted Design
Adversaries may manipulate accounts to maintain and/or elevate access to victim systems. Account manipulation may consist of any action that preserves or modifies adversary access to a compromised account, such as modifying credentials or permission groups.(Citation: FireEye SMOKEDHAM June 2021) These actions could also include account activity designed to subvert security policies, such as performing iterative password updates to bypass password duration policies and preserve the life of compromised credentials.
In order to create or manipulate accounts, the adversary must already have sufficient permissions on systems or the domain. However, account manipulation may also lead to privilege escalation where modifications grant access to additional roles, permissions, or higher-privileged Valid Accounts.
T1098「Account Manipulation」(アカウントの操作) は、攻撃者がターゲット環境へのアクセス権を維持(永続化)したり、さらに高い権限を得たりするために、既存のアカウントを改造、あるいは追加の設定変更を行う手法です。
この手法は、主に「永続化(Persistence)」と「特権昇格(Privilege Escalation)」の目的で実行されます。
この手法で攻撃者は、「一度手に入れた侵入口(アカウント)を、管理者に気づかれにくく、かつ剥奪されにくい形へ改造すること」を実現します。
永続化の強化:
たとえばユーザーがパスワードを変更しても、裏で別のサインイン方法(SSH鍵の追加やAPIキーの発行)を設定しておくことで、いつでも再侵入できるようにします。
特権の隠蔽:
一般ユーザーアカウントを、パッと見は一般ユーザーのまま、裏で「管理者グループ」に所属させることで、目立たずに最高権限を行使できるようにします。
検知の回避:
新しいアカウントを丸ごと1から作成するとセキュリティ監査で目立ちやすいため、すでに存在する「退職者のアカウント」や「使われていないサービスアカウント」を乗っ取って改造する方が安全だと攻撃者は考えます。
アカウントの構成を変更するため、攻撃者は事前にそのアカウント自体、あるいは管理者の認証情報を入手している必要があります。
侵入と権限奪取:
攻撃者は特定のユーザー(または管理者)のアカウントでシステムにログインします。
アカウントの改造(Manipulate):
環境に応じて以下のような操作を行います。
Windows (Active Directory):
一般ユーザーを Domain Admins(ドメイン管理者グループ)にこっそり追加する。または、SIDヒストリを悪用して過去の特権を引き継がせる。
Linux / macOS:
/etc/passwd や /etc/sudoers を書き換え、特定のユーザーにroot権限(sudo権限)を与える。または、ユーザーのホームディレクトリにある .ssh/authorized_keys に攻撃者の公開鍵を追記する。
クラウド (AWS / Azure / GCP):
既存のIAMユーザーに対して、新しい「アクセスキー(APIキー)」を発行する。あるいは、多要素認証(MFA)の設定を書き換えて自身のデバイスを登録する。
長期潜伏:
管理者が「不審なログインがあった」としてパスワードを強制リセットしても、攻撃者は裏で仕込んだSSH鍵やアクセスキーを使って、いつでもシステムに戻ってくることができます。
「権限変更のリアルタイム監視」と「アイデンティティ管理(IAM)の厳格化」が不可欠です。
特権グループ・設定の監視:
Windows:
ドメイン管理者(Domain Adminsなど)のメンバーシップ変更(Event ID 4728/4732など)をログで常時監視し、予期せぬ追加があれば即座にアラートを上げます。
Linux:
/etc/sudoers などの重要な設定ファイルの変更をファイル整合性監視(FIM)で追跡します。
クラウドの監査ログ(CloudTrailなど)の活用:
IAMユーザーに対する「アクセスキーの新規作成」「MFAデバイスの変更」「ポリシーのアタッチ」といったイベントを監視します。
定期的なアカウントの棚卸し:
長期間使われていないアクティブなアカウント、退職者のアカウント、不要なSSH公開鍵やAPIキーが残っていないかを定期的に自動スキャンして削除します。
ジャストインタイム(JIT)アクセスの導入:
常に高い権限を持たせるのではなく、必要な時にだけ一時的に権限を申請・付与する仕組み(PIM/PAM)を導入します。
「正規の管理操作」との類似性:
ユーザーのグループ追加やAPIキーの発行は、IT部門のシステム管理者が日常的に行う作業です。そのため、コマンドやログ単体では「攻撃」なのか「通常の業務変更」なのかの区別がつきにくく、防御側にとって認知が遅れやすい手法です。
広範なプラットフォームが対象:
Windows、Linux、macOSといった従来のOS層だけでなく、AWSなどのクラウド、さらにはMicrosoft 365などのSaaS環境(メールの転送ルールを勝手に追加する等)でも頻繁に悪用されます。
CWE-284: Improper Access Control:
アクセスコントロールの不備により、アカウントの権限変更を許してしまう問題。
CWE-732: Incorrect Permission Assignment for Critical Resource:
アカウント情報や認証設定ファイルに対する書き込み権限の管理不備。
T1098はOSやクラウドの「機能」そのものを悪用するため、特定の脆弱性(CVE)を突くものではありませんが、以下のような実際のインシデントやツールで中心的な役割を果たします。
SolarWinds攻撃 (UNC2452):
攻撃者は侵入後、Microsoft 365(Azure AD)環境において、既存のサービスプリンシパル(アプリケーション用のアカウント)に対して勝手に新しい資格情報(認証用証明書)を追加し、永続的なアクセス権を確立しました。
Mimikatz:
Windows環境において、アカウント操作の一種である「SIDヒストリの改ざん」などを行い、永続的なドメイン管理者権限を偽装する機能を備えています。
インシデント対応の際、「マルウェア(ファイル)を削除したから安心」と判断するのは危険です。攻撃者が T1098 を使って、「被害端末の .ssh/authorized_keys に自分の鍵を植え付けている」ケースや、「クラウドのIAMに予期せぬ予備のアクセスキーを作っている」ケースがあるため、不審な挙動があったアカウントの「認証設定」そのものを必ず裏まで確認してください。
この攻撃手法を利用する脅威アクターは登録されていません。