パスワード侵害テスト（BPT）は、Active Directory（AD）内のアカウントに存在するさまざまな種類の脆弱性を分析する無料ツールです。BPTは、ドメインにあるユーザーのメールアドレスが過去の認証情報漏洩に関与していないか、またActive Directoryのアカウントが過去に漏洩したパスワードを現在使用していないかを確認します。このテストを使用することで、パスワードを使用した攻撃を受ける可能性があるかどうかを把握でき、組織のセキュリティ意識を高めることができます。

パスワード侵害テストを利用する理由

ユーザーは、多くのアカウントで同じパスワードを使い回していることが多くあります。ユーザーは、自分の認証情報がいつ漏洩したのかに気付かないことが多く、オンラインで利用しているすべてのアカウントのパスワードを変更するといった対応を取らない場合があります。

セキュリティが侵害され認証情報が漏洩すると、サイバー犯罪者はその情報を容易に入手し、被害を受けたユーザーになりすますことができます。さらに攻撃者は、漏洩したパスワードをドメインのすべてのアカウントに対して試行するため、侵入が成功する可能性が高まります。

毎日のように新たなセキュリティ侵害が発生しているため、既存のセキュリティ対策に加えてこのツールを活用することで、データ侵害が組織にもたらすリスクを軽減できます。少なくとも月に一度は、このツールを使用することをお勧めします。

パスワード侵害テストの仕組み

パスワード侵害テストは、Active Directoryに接続して、ドメイン情報を取得し、パスワードテーブル（ハッシュ化されたパスワードを含む）や暗号化アルゴリズムの情報を取得します。その後、ユーザー組織のドメインとパスワードを、10 億件以上の漏洩パスワードを含むデータ漏洩データベースと照合して分析します。

情報は安全に保護されますか？

はい、保護されます。このツールは、Active Directory（AD）内のユーザーアカウントの実際のパスワードを表示したり報告したりすることは一切ありません。また、ドメインに関連する過去のデータ侵害で使用されていた元の認証情報も表示・報告されることはありません。AD内のパスワードはハッシュ化されており、どの時点でも表示されることはありません。テスト結果から、脆弱なパスワードを使用しているアカウントが特定されるため、この状況を修正することが可能になります。

このツールを使用する場合、機密データがネットワーク外に送信されることはなく、テストのためにAD内のドメイン情報のみが転送されます。テスト中に取得された情報は、ディスクではなくローカルメモリに保存されます。

システム要件と前提条件

システム要件

パスワード侵害テストを実行するには、使用するシステムが次の要件を満たしている必要があります。

• Windows 10以降（32ビットまたは64ビット）、Windows Server 2016以降
• Windows Server 2008 R2以降で実行されているActive Directory（AD）
• ドメインコントローラー（DC）にアクセスできること
• インターネットアクセス
• .NET Framework 4.7.2（必要に応じてインストールされます）
• 2つ以上のプロセッサ
• 2GB以上のRAM
• システムドライブに1GB以上のハードディスクドライブ（HDD）空き容量があること
• ユーザーアカウント制御（UAC）が有効になっていること

スキャンにより、一時的にネットワークトラフィックが大幅に増加し、CPU使用率が上昇する場合があるため、ドメインコントローラー以外のシステムでこのテストを実行してください。

前提条件

インストールするには、以下の情報が必要です。

1. ライセンスキー（このテストに登録するとメールで送信されます）
2. ADのドメイン名（例：MyDomain.comやMyDomain.local）
3. ドメインコントローラー（DC）の名前
4. ADに接続するための認証情報
   • この記事では、ADのアカウントにこれらの必要な権限をすばやく追加する方法について説明します。「[ディレクトリ変更のレプリケート]権限を付与する方法」 「[ディレクトリ変更のレプリケート]権限を付与する方法」（新しいウィンドウでリンクが開きます）
   • ドメイン管理者はデフォルトではこの情報にアクセスする権限がないため、ドメイン管理者アカウントでこのツールを使用しても、必ずしもテストを正常に実行できるわけではありません。
   • このテストを実行するために、これらの権限を持つ新規アカウントをADで作成することを強く推奨します。テストが完了したら、最小特権の原則に従って、この新規アカウントを削除してください。

   • 新規アカウントを作成する理由：新規アカウントを作成しておくと、将来このテストがいつ実施されたか、どのアカウントで情報にアクセスしたかを確認することが容易になります。テストが完了したら、新しく追加されたユーザーアカウントを削除するだけで、これらの権限も容易に削除できます。

     重要！テストを正しく実行するために、パスワード侵害テストを使用してADに接続する際の認証情報では、[ディレクトリの変更のレプリケート] および [ディレクトリの変更をすべてにレプリケート]権限が有効になっている必要があります。これらのアクセス許可により、パスワードテーブルのコピーを取得して、分析することが可能になります。

インストールと設定

パスワード侵害テストをインストールして設定するには、以下のステップに従って操作します。

1. https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test（新しいウィンドウでリンクが開きます）に移動します。

2. [Sign up for your Free Test]（無料テストへのサインアップ）フォームにあなたの情報を入力し、[Download Now!]（今すぐダウンロード）をクリックします。テストを実行するために必要となる固有のライセンスキーが、メールで送信されます。

   

3. パスワード侵害テストの[Thank You]（ありがとうございます）ページから、EXEインストールファイルをダウンロードします。

   注：オプションのチェックサムファイルをインストールすることもできます。

4. ダウンロードしたファイルをダブルクリックして、[KnowBe4 Breached Password Test Setup Wizard]（KnowBe4パスワード侵害テストセットアップウィザード）を開きます。プログラムがコンピューターに変更を加えることを許可するか尋ねられたら、[はい]をクリックします。

   

5. ライセンス契約を確認し同意します。次に、[Install]（インストール）をクリックして、セットアップウィザードを実行します。

   

6. 確認が求められたら[Next]（次へ）をクリックして、セットアップウィザードの指示に従って操作します。次に、[Finish]（終了）をクリックしてインストールを完了します。パスワード侵害テストツールがデスクトップに自動的に保存されます。[Launch KnowBe4 Breached Password Test]（KnowBe4パスワード侵害テストを起動）チェックボックスを選択した場合、ツールは自動的に起動します。

   

7. パスワード侵害テストツールを開くと、メインウィンドウに[License Info]（ライセンス情報）ポップアップウィンドウが表示されます。ポップアップウィンドウの[License Key]（ライセンスキー）フィールドに、サインアップ時に使用したメールアドレスに送られた固有のライセンスキーを入力します。次に、[OK]をクリックして、メインウィンドウに戻ります。

   

8. 最初の[Active Directory Details]（Active Directoryの詳細）フィールドに、Active Directory（AD）のDNS名を入力します。例えば、mydomain.comやmydomain.localのように入力します。

   

9. 2番目の[Active Directory Details]（Active Directoryの詳細）フィールドに、ドメインコントローラー（DC）の名前を入力します。例えば、DC1のように入力します。

   注：IPアドレスを入力することもできますが、信頼性の向上や、ネットワーク変更時にも安全な接続を維持するため、名前を入力することを推奨します。

10. 最初の[Credentials]（認証情報）フィールドに、作成したアカウントのユーザー名を入力します。

    注：このアカウントには、[ディレクトリの変更のレプリケート]および[ディレクトリの変更をすべてにレプリケート]の権限が必要です。現在ログインしているアカウントの認証情報を使用するには、[Use current logged on user]（現在ログオンしているユーザーを使用）チェックボックスを選択することもできます。
11. 2番目の[Credentials]（認証情報）フィールドに、作成したアカウントのパスワードを入力します。
12. [Start Test]（テスト開始）をクリックして、テストを開始します。

テストはまず、データ侵害の影響を受けているかどうかについて、AD内のドメインを分析します。次に、あなたのドメインのユーザーが影響を受けたデータ侵害で発見されたパスワードと、AD内の現在のパスワードを比較します。この処理は通常1分以内で完了しますが、Active Directoryやワークステーションの性能によってはさらに時間がかかる場合があります。

テストが終了すると、すぐに結果が画面に表示されます。

結果の分析

パスワード侵害テストの結果では、組織のドメインを使用しているアカウントが侵害の影響を受けていたかどうかを確認できます。さらに、侵害されたアカウントから漏洩したパスワードが、現在ADアカウントで使用されているかどうかも表示されます。なお、無効化されているADアカウントは、パスワード侵害テストのスキャンに含まれません。

テスト結果は、次の3つのシナリオのいずれかになります。

シナリオ1：「おめでとうございます！あなたのドメインは、現在の侵害リストには見つかりませんでした。」

パスワード侵害テストの結果がこのようなシナリオになる場合、AD内のドメインをスキャンしましたが、あなたのドメインを使用しているアカウントと侵害されたパスワードデータベース内のアカウントとの間に一致は見つかっていません。

新しい侵害データは定期的に追加されるため、毎週または毎月このテストを必ず継続してください。

シナリオ2：「あなたのドメインのXX件のパスワードが侵害による影響を受けていましました。これらのパスワードは、現在あなたのActive Directoryでは使用されていません。」

パスワード侵害テストの結果がこのようなシナリオになる場合、あなたのドメインの1 つ以上が侵害による影響を受けていたことを意味します。しかし、データ侵害時にこれらのアカウントに関連付けられていたパスワードは、現在あなたのADでは使用されていません。

このテスト結果は問題ではありませんが、ユーザーは古いパスワードに戻すことがあるため、この脆弱なシナリオを積極的に緩和するためにも、定期的にこのテストを実行することをお勧めします。侵害の影響を受けたユーザーはソーシャルエンジニアリングや標的型フィッシングの対象になりやすいため、これらのユーザーに対してセキュリティ意識向上トレーニングを実施することをお勧めします。

シナリオ3：「XX件のアカウントが現在侵害されたパスワードを使用しています。あなたのドメインのXX件のパスワードが侵害による影響を受けていましました。」

テスト結果でこのメッセージが表示された場合、影響を受けたアカウントに対応を促す必要があります。このツールのインターフェースには、侵害時に漏洩したパスワードを使用している脆弱なActive Directoryアカウントが一覧表示されます。攻撃者はこれらのパスワードを簡単に見つけてユーザーに対して悪用することができるため、組織が侵入されるリスクが高まります。

影響を受けたユーザーには、速やかにパスワードを変更させることを強く推奨します。ユーザーは古いパスワードに戻すことが多いため、この状況を改善した後も、継続的なセキュリティ管理の一環としてパスワード侵害テストを定期的に実行してください。

結果のエクスポート

結果は画面上ですぐに確認できますが、Excelスプレッドシート（.xlsx）またはPDFとしてディスクに保存することもできます。テストを再実行することを計画している場合は、結果を保存してください。

結果を保存するには、[Export to Excel]（Excelにエクスポート）または[Export to PDF]（PDFにエクスポート）をクリックします（下図参照）。ファイルに名前を付けて保存場所を選択できる画面が表示されます。

FAQ

1. 侵害されたパスワードの内容を見ることはできますか？

   いいえ。パスワードはハッシュ化されており、表示することはできません。

2. テスト中にログファイルは生成されますか？

   はい。パスワード侵害テストを初めて実行した時にログファイルが作成されます。ファイルはC:\Program Data\KnowBe4\Breached Password Testに保存されています。

3. エラーメッセージが表示され、テストが実行されませんでした。どうすればよいですか？

   エラーが発生してテストを完了できなかった場合は、以下の表を確認して、問題の原因を分析してください。

   エラーメッセージ	問題
   テストを実行しようとしているActive Directoryアカウントに[ディレクトリ変更のレプリケート]権限がありません。必要な前提条件については、下記のマニュアルを参照してください。	テストに使用しているアカウントには適切な権限が付与されていません。アカウントに[ディレクトリの変更のレプリケート]および[ディレクトリの変更をすべてにレプリケート]権限を必ず付与して作成してください。上記を参照してください。
   ユーザー名またはパスワードが無効なため、テストを実行できませんでした。認証情報を確認して、再度テストを実行してください。	提供された認証情報を使用してADに接続できませんでした。ユーザー名とパスワードが正しいことを確認し、もう一度テストを実行してください。
   サーバーを利用できません。DNS名を確認して、再度テストを実行してください。	このエラーは、DNS名が間違っているか、フォーマットが正しくないことを意味します。mydomain.comまたはmydomain.localのフォーマットを使用して、再度テストを実行してください。
   サーバーを利用できません。ドメインコントローラーを確認して、再度テストを実行してください。	このエラーは、ドメインコントローラー（DC）の名前またはIPアドレスが正しくないか、DCに到達できないことを意味します。DCの名前またはIPアドレスを再確認し、再度テストを実行してください。
   ライセンスの検証に失敗しました。	このエラーは、a）使用しているライセンスキーが無効であるか、b）プロキシ経由でライセンスキーを検証しているために失敗している場合に発生します。プロキシがエラーの原因である場合、プロキシ設定でhttps://bpt.knowbe4.com/*ドメインへの接続を許可することで、ライセンスキーを検証できます。

4. Azure ADを使用している場合でも、このテストを実行できますか？

   いいえ。このツールはローカルADのみで動作します。

5. ウイルス対策ソフトがこのツールを危険と警告しました。本当に危険ですか？

   いいえ。危険ではありません。パスワード侵害テストの動作は、ハッカーが使用するパスワードクラッキングツールの挙動に似ているため、ウイルス対策が潜在的に危険と警告する場合があります。

6. 複数のユーザーが侵害されたパスワードを使用していました。次に何をすればよいですか？

   まず第一に、ユーザーにパスワードを直ちに変更させてください。

   次に、セキュリティ意識向上トレーニングを通じて、適切なパスワードの運用方法をユーザーにトレーニングし、これらの方法を定期的に確認させることが重要です。ユーザーには、異なるアカウントでパスワードを使い回さないように指導する必要があります。KnowBe4では、適切なパスワード運用に関する複数のコースを提供しており、これらのコースを使ってユーザーをトレーニングできます。

   KnowBe4 は、組織内でのパスワード脆弱性を具体的に防止する方法については直接のアドバイスはできませんが、役立つリソースを提供することができます。

   • TechNet：パスワードポリシーの設定 パスワードポリシーの設定（新しいウィンドウでリンクが開きます）
   • TechNet：パスワードポリシー適用のベストプラクティス パスワードポリシー適用のベストプラクティス（新しいウィンドウでリンクが開きます）
   • Microsoft：パスワードガイダンス（ダウンロード可能なPDF） パスワードガイダンス（ダウンロード可能なPDF）（新しいウィンドウでリンクが開きます）

7. 侵害データはどこから取得しているのですか？それを見ることはできますか？

   パスワード侵害テストで使用されるデータは、公開されている侵害情報の調査を通じて取得されています。プライバシーとセキュリティの観点から、パスワード侵害テストのデータベースは専有情報として管理されています。さらに、KnowBe4は過去の侵害情報を検索するため、Spycloud.comと提携しています。Spycloudは、ユーザーが自身のメールアドレスを検索し、過去のデータ侵害で情報が漏洩していないか確認できる専門のオンラインリソースとして高く評価されています。

8. 自社のユーザーのどの情報が漏洩したか確認する方法はありますか？

   プライバシーとセキュリティの観点から、パスワード侵害テストでは、あなたの組織のドメインに関連する元の侵害アカウントの詳細を提供することはできません。ただし、EEC Proに サインアップ サインアップ（新しいウィンドウでリンクが開きます）するか、結果を確認することで、ユーザーが関与した特定の侵害に関するより詳しい情報を得られる場合があります。