Kerberoasting攻撃から身を守る方法

Kerberoasting攻撃から身を守る方法

セキュリティを知りたい

先生、「Kerberoasting攻撃」ってなんですか?なんだか難しそうな名前でよくわからないです。

セキュリティ研究家

そうだね。「Kerberoasting攻撃」は、鍵のかかった部屋に不正に入ろうとするようなものなんだ。部屋に入るための鍵を盗む代わりに、鍵束ごと盗んで、あとでゆっくりと正しい鍵を探すイメージかな。

セキュリティを知りたい

鍵束ごと盗むって大胆ですね!でも、たくさんの鍵の中から探すのは大変そうですね。

セキュリティ研究家

その通り!でも、コンピューターを使うと、たくさんの鍵を順番に試していくことができるんだ。だから、セキュリティをしっかりしていないと、この攻撃で簡単に侵入されてしまう可能性があるんだよ。

Kerberoasting攻撃とは。

「セキュリティー対策に!『ケルベロースティング攻撃』の仕組み」

ウィンドウズのアクティブディレクトリーというシステムで使われている「ケルベロス認証」という仕組みがあります。この仕組みを狙った攻撃が「ケルベロースティング攻撃」です。

この攻撃は、例えるなら、合鍵を作るように、サービスチケットのパスワードを解読して、本来アクセスできない情報にアクセスしようとするものです。

この攻撃の厄介なところは、解読作業がネットワークから disconnected な状態で行われるため、発見が非常に難しい点です。

攻撃者は、まず、不正に入手したアカウント情報を使って、サービスの一覧表を手に入れます。次に、その情報を使って、各サービスに対応するチケットを発行させます。このチケットは暗号化されていますが、攻撃者は、様々なパスワードを試すことで、解読を試みます。

解読に成功すると、攻撃者はその情報を使って、ネットワーク内の他のコンピュータにアクセスしたり、より高い権限を手に入れたり、あるいは、その情報を悪用して、長期にわたってシステムに潜り続けたりします。

「ケルベロースティング攻撃」を行うためのツールは既に存在し、パスワードの解読には、「ハッシュキャット」や「ジョン・ザ・リッパー」といったツールが使われています。

この攻撃方法は、2014年にティム・メディン氏によって発見されました。

Kerberoasting攻撃とは

Kerberoasting攻撃とは

– Kerberoasting攻撃とは
Kerberoasting攻撃とは、Windowsの環境でよく使われている認証システムであるKerberosの弱点を利用した攻撃手法です。

Kerberosは、簡単に言うと、ある利用者が特定のサービスを利用する際に、その利用者が本当にその人であるのかを証明するための仕組みです。
この仕組みにより、本来アクセスできるべきでない利用者が、重要な情報にアクセスすることを防いでいます。

Kerberoasting攻撃では、攻撃者はまず、標的となるシステムに侵入します。
そして、Kerberosの仕組みを利用して、サービスの利用許可証のようなもの(サービスチケット)を不正に入手します。
このサービスチケットは、暗号化されていますが、攻撃者は、様々なパスワードを試しに使って、この暗号を解読しようとします。

この攻撃が厄介なのは、攻撃者がシステムに直接侵入する必要がなく、ネットワークに接続できる状態であれば、外部から実行できてしまう点です。
さらに、攻撃の痕跡が残りにくいため、発見が遅れてしまう可能性も高いです。
もし、攻撃者が暗号の解読に成功した場合、正規の利用者になりすまして、システムにアクセスできるようになってしまいます。

そのため、Kerberoasting攻撃は、近年、攻撃者から注目を集めている攻撃手法の一つとなっています。

攻撃手法 概要 特徴 対策
Kerberoasting攻撃 Windowsの認証システムKerberosの脆弱性を突いた攻撃。攻撃者はKerberosのサービスチケットを不正に入手し、オフラインでパスワード解析を行うことで、正規ユーザーになりすます。 外部からの攻撃が可能であり、検知が困難。 強力なパスワードを設定する。サービスアカウントの権限を制限する。Kerberosの監査ログを監視する。

攻撃の手順

攻撃の手順

– 攻撃の手順Kerberoasting攻撃を紐解くKerberoasting攻撃は、巧妙な手順で進行する攻撃であり、企業ネットワークへの侵入を企む攻撃者にとって有効な手段となりえます。まず、攻撃の最初の段階では、攻撃者はすでに侵害に成功したアカウントの権限を悪用します。このアカウントは、標的のネットワーク内で、たとえ低い権限しか持たないアカウントであったとしても、Kerberoasting攻撃の足がかりとして利用されてしまいます。攻撃者は、この侵害したアカウントの権限を利用して、Active Directoryと呼ばれる、ネットワーク上のユーザーやコンピュータなどのリソースを一元管理するシステムにアクセスします。そして、Active Directory内から、サービスプリンシパル名(SPN)の一覧を収集します。SPNは、ドメインコントローラーやWebサーバーなど、様々なサービスと関連付けられており、攻撃の次の段階で重要な役割を果たします。次に、攻撃者は自身のアカウントのチケット保証チケット(TGT)を用いて、標的のサービスに対応するチケット保証サービス(TGS)チケットを要求します。TGSチケットは、特定のサービスへのアクセスを許可する暗号化された情報を含んでおり、攻撃者はこのチケットを不正に入手することで、標的のサービスになりすますことを企みます。そして、攻撃者は、入手したTGSチケットをオフライン環境に移し、ブルートフォース攻撃などの手法を用いて解析を試みます。ブルートフォース攻撃とは、考えられるすべてのパスワードの組み合わせを総当たりで試す攻撃方法であり、時間と計算能力を必要としますが、パスワードの強度が低い場合は、攻撃が成功する可能性が高まります。攻撃者は、この解析作業を通じて、チケットに関連付けられたユーザーのパスワードを解読しようとします。もし、パスワードの解読に成功した場合、攻撃者はその盗み出した資格情報を利用して、標的ネットワーク内の他のシステムへのアクセスを試みます。そして、さらなる権限昇格や、検知を回避するための永続的なアクセスを確立しようとします。このように、Kerberoasting攻撃は、多段階の手順を踏むことで、攻撃者にネットワークへの不正アクセスを許してしまう危険性があります。

攻撃手法 概要 特徴 対策
Kerberoasting攻撃 Windowsの認証システムKerberosの脆弱性を突いた攻撃。攻撃者はKerberosのサービスチケットを不正に入手し、オフラインでパスワード解析を行うことで、正規ユーザーになりすます。 外部からの攻撃が可能であり、検知が困難。 強力なパスワードを設定する。サービスアカウントの権限を制限する。Kerberosの監査ログを監視する。

Kerberoasting攻撃の脅威

Kerberoasting攻撃の脅威

– Kerberoasting攻撃の脅威Kerberoasting攻撃は、企業ネットワークに侵入し、機密情報にアクセスするために悪用される可能性のある、深刻なセキュリティ脅威です。この攻撃が多くの企業にとって深刻な脅威となる理由は、その特性にあります。まず、Kerberoasting攻撃はオフライン攻撃である点が挙げられます。これはつまり、攻撃者がパスワードの解析処理を自身の環境で行うことを意味します。従来のオンライン攻撃とは異なり、企業ネットワークへの直接的な侵入や、ログイン試行といった行動が見られないため、検知システムによる発見が困難です。さらに、Kerberoasting攻撃は、その成功率の高さも脅威の一つです。攻撃者は、盗み出した情報を元に、時間をかけて徹底的にパスワード解析を試みることができます。たとえ複雑なパスワードを設定していたとしても、十分な時間とリソースがあれば、解読される可能性は高まってしまうのです。加えて、近年では、Rubeusなど、Kerberoasting攻撃を自動化するツールの普及が進んでいます。これらのツールは、攻撃に必要な複雑な手順を自動化するため、特別な技術を持たない攻撃者でも容易にKerberoasting攻撃を実行することを可能としてしまいます。このように、Kerberoasting攻撃は、その検知の難しさ、高い成功率、ツールの普及といった点から、セキュリティ対策を講じていない企業にとって、極めて深刻な脅威と言えるでしょう。

脅威 内容
オフライン攻撃 パスワード解析を攻撃者自身の環境で行うため、検知システムによる発見が困難
成功率の高さ 時間をかけて徹底的にパスワード解析を試みることができるため、複雑なパスワードでも解読される可能性が高い
自動化ツールの普及 Rubeusなど、攻撃に必要な手順を自動化するツールの普及により、特別な技術を持たない攻撃者でも容易に攻撃を実行可能

対策

対策

– 対策システムを堅牢化し、悪意のある攻撃から守るためには、多層的な対策を講じることが重要です。ここでは、Kerberoasting攻撃からシステムを守るための具体的な対策について詳しく解説します。-# 強固なパスワード設定の徹底ユーザーが利用するパスワードは、推測や総当たり攻撃では容易に解読できない、複雑で長いものにする必要があります。 具体的には、最低でも12文字以上で、大文字、小文字、数字、記号を組み合わせたパスワードを設定することを推奨します。システム管理者は、ユーザーに対してパスワードの重要性や適切な設定方法について、定期的に教育を行うことが大切です。-# サービスアカウントの厳格な管理体制システム内部で利用されるサービスアカウントのパスワードは、定期的に変更するだけでなく、ユーザーアカウントと同様に複雑で強力なものに設定する必要があります。また、不要な権限が付与されていないかを定期的に確認し、最小限の権限に制限することで、万が一、パスワードが漏洩した場合でも被害を最小限に抑えることができます。-# Kerberosチケットの有効期限設定Kerberos認証で利用されるチケットの有効期限を短縮することで、攻撃者が不正に入手したチケットを利用できる期間を制限できます。有効期限の設定は、システムの運用状況やセキュリティリスクを考慮して、適切な時間(例えば、数時間から最大でも1日以内)に設定することが望ましいです。-# 定期的なセキュリティ監査の実施システム全体のセキュリティ状況を把握し、潜在的な脆弱性を早期に発見するために、定期的なセキュリティ監査の実施は欠かせません。特に、Kerberoasting攻撃に関連するログを重点的に分析することで、攻撃の兆候をいち早く察知し、迅速な対応が可能となります。-# 多要素認証の導入パスワードに加えて、スマートフォンアプリや専用デバイスを用いた認証を追加する多要素認証を導入することで、パスワードが盗難された場合でも、不正アクセスを防ぐことができます。多要素認証は、Kerberoasting攻撃以外の攻撃に対しても有効な対策となるため、積極的に導入を検討すべきです。

対策 詳細
強固なパスワード設定の徹底 ユーザーアカウントやサービスアカウントのパスワードを、推測や総当たり攻撃では解読困難な、複雑で長いものにする。最低でも12文字以上で、大文字、小文字、数字、記号を組み合わせることを推奨。
サービスアカウントの厳格な管理体制 サービスアカウントのパスワードを定期的に変更し、ユーザーアカウントと同様に複雑で強力なものにする。不要な権限が付与されていないかを定期的に確認し、最小限の権限に制限する。
Kerberosチケットの有効期限設定 Kerberos認証で利用されるチケットの有効期限を短縮することで、攻撃者が不正に入手したチケットを利用できる期間を制限する。システムの運用状況やセキュリティリスクを考慮して、適切な時間(例えば、数時間から最大でも1日以内)に設定する。
定期的なセキュリティ監査の実施 システム全体のセキュリティ状況を把握し、潜在的な脆弱性を早期に発見するために、定期的なセキュリティ監査を実施する。Kerberoasting攻撃に関連するログを重点的に分析することで、攻撃の兆候をいち早く察知し、迅速な対応が可能となる。
多要素認証の導入 パスワードに加えて、スマートフォンアプリや専用デバイスを用いた認証を追加する多要素認証を導入することで、パスワードが盗難された場合でも、不正アクセスを防ぐ。多要素認証は、Kerberoasting攻撃以外の攻撃に対しても有効な対策となる。

まとめ

まとめ

– まとめKerberoasting攻撃は、気づかれにくく、成功率の高い攻撃手法であるため、組織にとって重大な脅威となりえます。そのため、組織は対策を怠らず、重要な情報を守る必要があります。Kerberoasting攻撃の恐ろしさは、攻撃者が組織のネットワークに侵入する必要がない点にあります。悪意のある人物は、正当なユーザーアカウントさえ入手できれば、外部から攻撃を仕掛けることが可能です。そして、攻撃が成功すると、機密情報へのアクセス権を持つアカウントが盗み出され、組織に甚大な被害がもたらされる可能性があります。組織は、Kerberoasting攻撃から身を守るために、多層的な防御策を講じる必要があります。 まず、強力なパスワードポリシーを導入し、ユーザーに対して定期的なパスワードの変更を促すことが重要です。さらに、多要素認証を導入することで、パスワード漏洩のリスクを大幅に軽減できます。また、システム管理者は、サービスアカウントに最小限の権限を付与し、定期的にアカウントの監査を実施することで、不正アクセスのリスクを最小限に抑えることができます。情報セキュリティ対策は、常に変化する脅威に対応していく必要があります。最新の脅威情報を入手し、システムと対策を継続的に改善していくことが、組織の安全を守る上で重要です。

Kerberoasting攻撃の特徴 対策
気づかれにくい 強力なパスワードポリシー導入
成功率が高い 定期的なパスワード変更
ネットワーク侵入不要 多要素認証の導入
外部からの攻撃が可能 サービスアカウント権限の最小化
機密情報へのアクセス権取得のリスク 定期的なアカウント監査
組織への甚大な被害の可能性 最新の情報セキュリティ対策
タイトルとURLをコピーしました