対象:まったくの初心者/CompTIA(Security+・CySA+)学習者
目的:Active Directory(AD)やEntra ID(Azure AD)に潜む攻撃パスを可視化し、防御に活かす基礎を1記事で学ぶ
この記事で学べること
- BloodHound(Community Edition/以下BHCE)の役割と仕組み
- 安全な導入手順と**データ収集(SharpHound/AzureHound)**の流れ
- 画面操作の基礎とよく使うクエリの読み解き
- 防御運用(紫チーム)への落とし込みとCompTIA学習ポイント
BloodHound CEは、AD/Entra/Azureの関係性をグラフ化し、権限の連鎖(攻撃パス)を発見するためのオープンソースツールです。エンタープライズ版(BHE)もありますが、本記事では無償のBHCEを扱います。SpecterOps
BloodHoundとは?— 概念・エディションの違い・何が“見える”のか
なぜ必要か
攻撃者は“単独の脆弱性”ではなく、弱い設定の連鎖を辿って重要アカウントへ到達します。BloodHoundはこの到達経路(攻撃パス)を図で見える化し、どこを切れば良いかを教えてくれます。SpecterOps
仕組み
- 収集ツール(SharpHound=AD、AzureHound=Entra/Azure)が関係情報(誰が何に管理権限を持つか・どのグループに属するか 等)を集めてZIP化
- BHCEに取り込むと、ノード(ユーザー/グループ/コンピュータ等)とエッジ(MemberOf/AdminTo等の関係)のグラフとして表示・検索できる
- プリセットクエリで「Domain Adminsへの最短経路」「ローカル管理者関係」「DCSync権限のある主体」などをワンクリックで抽出できる bloodhound.specterops.io
エディションの整理
- BHCE(無償):学習・検証・個社利用向け。AD/Entra/Azureに対応。導入容易化や機能拡張が継続されている。SpecterOpsGitHub
- BHE(有償):大規模運用・継続的是正(APM=Attack Path Management)機能が充実。Tier管理等の運用機能強化が進む。bloodhound.specterops.io
注意:BloodHound/収集ツールは攻撃にも防御にも使えるため、許可のある環境のみで実施してください。EDR/AVでマルウェアとして検知されることがあります。bloodhound.specterops.io
インストール(BHCE)と準備
何を入れる?
- BloodHound CE本体(デスクトップアプリ)を入手して起動
- 収集は別ツール:AD→SharpHound、Entra/Azure→AzureHound を使用 SpecterOpsbloodhound.specterops.io+1
ざっくり手順(例)
- BHCEのQuickstartに従ってダウンロード&起動
- 学習用ラボ(小さなAD/Entra環境)を用意
- 収集ツールを安全な権限範囲で実行し、ZIPをBHCEにドラッグ&ドロップで取り込み
- プリセットクエリで攻撃パスを可視化し、**是正対象(過剰権限/不用意な関係)**を洗い出す bloodhound.specterops.io+1
ヒント:DL/実行がブロックされる場合はQuickstartの注意書きを参照(EDR/AVの影響)。bloodhound.specterops.io
データ収集の基本:SharpHound(AD)/ AzureHound(Entra & Azure)
ポイント
まずは小さく収集し、読み解ける範囲で反復するのがコツ。やみくもな“All収集”はノイズ・検知リスク・レビュー負荷を増やします。
なぜ?
- SharpHoundはドメインユーザーの文脈で、LDAP/Windows API等から関係情報を収集する仕組み。**権限昇格に直結する“関係”**を集めるので、最小権限&範囲限定が望ましい。GitHubbloodhound.specterops.io
- AzureHoundはMicrosoft Graph/Azure REST経由でEntra/Azureの関係を収集。OS依存が少なく、どのOSでも実行可。bloodhound.specterops.io
例:ラボでの最小実行イメージ
※許可済みのラボ環境専用。本番ネットワークや第三者環境での実行は厳禁。
# (AD)SharpHound CE を最小セットから試すイメージ
# 収集範囲やメソッドはラボ規模に合わせて限定する
.\SharpHound.exe -c LocalAdmin,ACL -d lab.example.local -zipfilename lab_ad_small.zip
# (Entra/Azure)AzureHound CE の例
# 認証/権限はGraphの最小権限で。実行環境は任意OSでOK
azurehound collect --tenant-id <YOUR_TENANT_ID> --output lab_azure_small.zip
実際のフラグ・権限は公式ドキュメントの最新表記を必ず確認してください。bloodhound.specterops.ioGitHub
取り込みと画面の基本操作
ZIPの取り込み
BHCEを起動し、収集ZIPを投入するとグラフが構築されます。以後は検索バーとプリセットクエリを中心に分析を進めます。bloodhound.specterops.io
画面の見方
- ノード:User / Group / Computer / GPO / OU / Device / Service Principal など
- エッジ:MemberOf / AdminTo / HasSession / GenericAll / AddMember …(=関係の種類)
- アクション:ノード右ペインで所有権・所属・到達経路などを確認、Pathfindingで最短経路を描画 bloodhound.specterops.io
よく使うプリセットクエリと“読み方”
結論:最初は**「危険に近いもの」から**。次に**「切れば効くところ」**を探し、小さく是正→再測定のサイクルへ。
- Shortest Paths to Domain Admins / High Value Targets
→ 重要資産へ辿れる最短パス。中間ノード(グループ/端末/委任設定)が“切り所”。bloodhound.specterops.io - Find Principals with DCSync Rights
→ DCSync可能な主体(GetChanges*権限)を抽出。最小化・監査強化対象。 - Map Local Admin Relationships
→ 端末ローカル管理者の横移動ハブを特定。端末のTier分離やLAPS徹底を検討。 - AS-REP / Kerberoastable Users
→ パスワードクラックに晒されやすい設定ユーザー。スマートロックアウト・監査対象。 - Unconstrained/Constrained Delegation / RBCD
→ 委任設定に関わる特権移譲の抜け。最小化・スコープ適正化へ。
BHEのTier Managementに通じる考え方(階層分離/タグ付けでの視認性向上)は、BHCE運用にも応用できる“設計の型”です。bloodhound.specterops.io
防御に活かす:紫チーム運用の型(最短サイクル)
「収集 → 可視化 → 是正 → 再収集」を月次〜四半期で回す。変化を追い、再発を止める。
権限・所属・SaaS連携は日々変化。図で変化を追うことが運用の肝。
Example(小さく始める改善):
- 最短パスの中間ノードTOP3を是正(例:不用意な“AdminTo”、委任設定の見直し)
- ローカル管理者の連鎖をTier分離で抑制
- DCSync可能主体を再点検し、運用手順と監査を整備
切って効く箇所に集中し、グラフのつながりを短くする。
CompTIA学習とのつながり(Security+ / CySA+)
- Security+:IAM・ディレクトリ・横移動・委任・権限最小化/グラフで説明できると理解が深まる
- CySA+:攻撃パス分析→是正というサイクル、**検知(EDR/ログ)**と合わせて学習
- 学習の着眼点:攻撃“手法”ではなく、関係(エッジ)を短くする設計と監査性を重視
よくあるつまずきと対処
- ダウンロード/実行がブロックされる
→ Quickstartの注意点参照。EDR/AVが攻撃者ツール扱いするため。ラボで検証、必要に応じて一時的除外を検討(※組織手順に従う)。bloodhound.specterops.io - データが足りない/古い
→ 収集ツールのバージョン整合を確認(BHCE/SharpHound/AzureHoundの更新が活発)。GitHub+1 - 検知が心配
→ ベンダの検知研究を把握(SharpHoundをどう見つけるか)。本番での検証は合意・手順必須。SecurityWeek
ラボ構築のヒント
- AD小規模構成(1ドメイン/少数のユーザー・端末)+Entra/Azure最小テナント
- ラボ用テストアカウント/権限を別管理(本番混在はNG)
- 収集は最小メソッドから。変化が見える→範囲を段階的に広げる
まとめ
- BloodHoundは“関係の連鎖”を見える化して、“どこを切れば安全か”を示すツール
- まずはBHCE+最小収集で短い改善サイクルを回す
- CompTIA学習では、設計(最小権限・階層/Tier)と監査性の視点で理解を固める
参考(公式ドキュメントへの入り口)
- BloodHound CE(製品ページ/ドキュメント/DL) SpecterOpsbloodhound.specterops.io
- SharpHound(収集の要点・入手先) GitHubbloodhound.specterops.io
- AzureHound(Entra/Azure収集) bloodhound.specterops.io
- リリースノート/最新動向(継続更新をチェック) GitHubbloodhound.specterops.io
