Trusted Design

T1136 - Create Account

概要

Adversaries may create an account to maintain access to victim systems.(Citation: Symantec WastedLocker June 2020) With a sufficient level of access, creating such accounts may be used to establish secondary credentialed access that do not require persistent remote access tools to be deployed on the system.

Accounts may be created on the local system or within a domain or cloud tenant. In cloud environments, adversaries may create accounts that only have access to specific services, which can reduce the chance of detection.

管理者によるコメント

T1136「Create Account」（アカウントの作成） は、攻撃者がターゲット環境の内部に、自分専用の新しいユーザーアカウントを直接作成する手法です。

この手法は、主に「永続化（Persistence）」と「特権昇格（Privilege Escalation）」の目的で実行されます。

1. 概要

この手法で攻撃者は、「他人のアカウントを借りて潜伏するのではなく、自分専用の裏口（アカウント）をシステムに正式に増設すること」を実現します。

何を実現できるのか

• 強固な永続化:
  既存ユーザーのパスワードが変更されたり、セッションが切断されたりしても、自分が作成したアカウントを使えばいつでも再侵入できます。

• 特権の確保:
  新しく作成するアカウントを最初から「管理者グループ（Administratorsやroot、CloudAdmin）」に所属させることで、次回のログイン時から最高権限での操作を保証させます。

2. プラットフォームごとの違い（Sub-techniques）

MITRE ATT&CKでは、アカウントを作成する対象環境（プラットフォーム）ごとに3つのサブテクニックに分類されています。

① T1136.001: Local Account（ローカルアカウントの作成）

個別の端末（PCやサーバー）の中にアカウントを作ります。

* **Windowsの例:** `net user /add attacker_user P@ssw0rd123!`
* **Linuxの例:** `useradd -m attacker_user`

② T1136.002: Domain Account（ドメインアカウントの作成）

企業のネットワーク全体を管理する Active Directory (AD) などのドメイン環境にアカウントを作ります。

* 成功すると、そのドメインに参加しているすべての端末や社内リソースへアクセスするための強力な足がかりになります。
* **コマンドの例:** `net user attacker_user P@ssw0rd123! /add /domain`

③ T1136.003: Cloud Account（クラウドアカウントの作成）

AWS、Azure、Google Cloud（GCP）などのクラウド環境や、Microsoft 365などのSaaS環境にIAMユーザーやアカウントを作ります。

* **AWSの例:** `aws iam create-user --user-name attacker_cloud_user`
* 攻撃者はここに管理者ポリシー（AdministratorAccess）を付与したり、APIアクセス用の「アクセスキー」を発行したりして、コンソール画面やAPI経由でクラウド基盤全体を支配します。

3. 攻撃の流れ

アカウントを新規作成するためには、攻撃者は事前にそのシステムにおける管理者権限（またはアカウント作成権限を持つAPIキーなど）を確保している必要があります。

1. 権限の奪取:
   脆弱性の悪用やフィッシングで、一時的に管理者権限（SYSTEM、root、ドメイン管理者、クラウドのAdminなど）を手に入れます。

2. アカウントの作成:
   上記の各種コマンドやAPIを使い、目立たない名前（例: sysadmin_test、daemon_user など）でアカウントを作成します。

3. 特権グループへの追加:
   作成したアカウントを、Administrators や Domain Admins、クラウドの管理者グループに紐付けます。

4. 隠蔽と再侵入:
   最初に侵入したルート（マルウェアなど）がセキュリティソフトに駆除されても、攻撃者はこの新アカウントを使って、正規のVPNやRDP、クラウドコンソールから堂々と「正規ユーザー」のフリをして再侵入します。

4. 防御・対策

「アカウント作成ログの即時検知」と「最小権限の原則」が基本です。

• イベントログの監視（最重要）:
  アカウントの新規作成はOSやクラウドのログに明確に記録されます。これらをSIEM等で監視し、申請外の時間やプロセスから実行された場合に即座にアラートを上げます。

  • Windows (ローカル):
    Event ID 4720（ユーザー アカウントが作成されました）

  • Windows (ADドメイン):
    同様にドメインコントローラーの Event ID 4720、およびグループ追加の 4728 / 4732 を監視。

  • Linux:
    /var/log/auth.log や /var/log/secure における useradd や groupadd のログ。

  • AWS:
    CloudTrailにおける CreateUser や CreateAccessKey イベントの監視。

• 特権の厳格な管理（最小権限）:
  一般ユーザーや、Webアプリケーションを動かすシステムアカウントに「アカウント作成権限（User Management権限）」を与えないようにします。

5. 関連する主なCWE

• CWE-284: Improper Access Control:
  適切なアクセス制御が行われず、アカウント作成という重大な特権操作を許してしまう問題。

• CWE-732: Incorrect Permission Assignment for Critical Resource:
  ユーザー管理APIやコマンドに対する実行権限の設定不備。

6. 関連する代表的な事例

• ランサムウェア攻撃（ハッカー集団など）:
  企業ネットワークに侵入したランサムウェアのオペレーター（人間）は、ドメインコントローラーを掌握した際、将来のバックドアとして複数のドメイン管理者アカウント（T1136.002）を作成し、ネットワーク全体のファイルを一斉に暗号化する準備を整えるケースが非常に多いです。

• クラウドの認証情報漏洩インシデント:
  GitHubなどに誤って公開されてしまったAWSのアクセスキーを攻撃者が拾った際、そのキーが失効される前に、自分専用の予備のIAMユーザー（T1136.003）を急いで作成してクラウド内に永続的な拠点を確保する手口が多発しています。

実務上のアドバイス

セキュリティ運用の現場において、「Event ID 4720（アカウント作成）」は、最も誤検知（False Positive）が少なく、かつ重要度の高いアラートの一つです。社内のシステム変更申請（チケット）と連動させ、「申請にないアカウント作成ログ」が1件でも出たら即座にインシデントとしてハンドリングする体制を整えることが推奨されます。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る