見えない鍵?:ゴールデンチケット攻撃からシステムを守る
セキュリティを知りたい
先生、「ゴールデンチケット」ってなんですか? セキュリティの本で見かけたんですけど、なんだか怖い名前で…
セキュリティ研究家
なるほど。「ゴールデンチケット」は、コンピューターのネットワークで、不正にあらゆる場所に「入れる権利」を手に入れてしまう攻撃のことだよ。遊園地の乗り放題チケットを想像してみて。本来は許可された人しか乗れないのに、そのチケットがあれば誰でも、どこでも自由に乗れてしまう、そんなイメージだね。
セキュリティを知りたい
誰でも入れるようになってしまうなんて、危険ですね! どうしてそんなことが起きちゃうんですか?
セキュリティ研究家
そうだね、とても危険だ。簡単に言うと、その「入れる権利」を管理している重要な場所が攻撃されて、偽物の「ゴールデンチケット」を作られてしまうんだ。だから、その偽物のチケットを使うことで、本来入れない場所にも侵入できてしまうんだよ。
ゴールデンチケットとは。
「安全性を高めるための豆知識、『ゴールデンチケット』について説明します。『ゴールデンチケット』とは、『アクティブディレクトリ』というシステムで使われている『ケルベロス認証』と呼ばれる仕組みへの攻撃手法の一つです。
攻撃者はまず、『ケルベロス認証』で重要な役割を果たす『TGTアカウント』のパスワード情報を入手し、偽の『TGT』を作り出します。これが『ゴールデンチケット』と呼ばれるもので、これを使うことで攻撃者は、『アクティブディレクトリ』内のあらゆるアカウントになりすまして、本来アクセスできない情報や機能にアクセスできてしまう危険性があります。
具体的には、『TGTアカウント』の情報を使って『KDC』と呼ばれる認証サーバーとやり取りし、『TGS』というサービス利用チケットを不正に取得します。
この攻撃は、『OSクレデンシャルダンピング』などの方法で『TGTアカウント』のパスワード情報が盗み取られることで発生します。『ミミカツ』というツールがこの攻撃によく使われます。」
ゴールデンチケット攻撃とは
– ゴールデンチケット攻撃とは企業のネットワークにおいて、社員ひとりひとりのアクセス権を管理し、情報資産を守る上で、Active Directoryと呼ばれるシステムがよく利用されています。このシステムでは、Kerberos認証という仕組みを用いて、アクセスを許可された正当な利用者であるかを判断します。利用者がシステムやサービスを利用しようとするとき、チケットと呼ばれる通行証のようなものが発行され、このチケットを提示することで、初めてアクセスが許可される仕組みです。ゴールデンチケット攻撃は、このKerberos認証の仕組みを悪用した、非常に危険なサイバー攻撃です。攻撃者は、チケットを発行するシステムの中枢を担う「TGTアカウント」のパスワード情報を入手することで、偽のチケットを作り出すことができてしまいます。そして、この偽造チケット、すなわち「ゴールデンチケット」を利用すると、あたかも正規の利用者のように振る舞えてしまうため、Active Directoryで管理されたあらゆる情報にアクセスできてしまう危険性があります。ゴールデンチケット攻撃が恐ろしい点は、一度攻撃が成功してしまうと、攻撃者は最高レベルの権限を手に入れ、ネットワーク上のあらゆる情報を盗み見たり、改ざんしたりできてしまう点にあります。しかも、正規の利用者になりすましているため、不正なアクセスと気付かれにくく、長期にわたって被害が続く可能性もあります。そのため、企業はゴールデンチケット攻撃に対する対策を講じておくことが重要です。具体的には、TGTアカウントのパスワードを定期的に変更したり、多要素認証を導入したりするなど、セキュリティ対策を強化することで、攻撃のリスクを低減できます。
| 攻撃手法 | 危険性 | 対策 |
|---|---|---|
| ゴールデンチケット攻撃 – Kerberos認証の仕組みを悪用 – TGTアカウントのパスワード情報を盗み、偽のチケット(ゴールデンチケット)を作成 – 正規ユーザーになりすまし、あらゆる情報へのアクセスが可能となる |
– 最高レベルの権限を奪取される – 情報の盗難、改ざんの危険性 – 不正アクセスが検知されにくく、長期的な被害の可能性 |
– TGTアカウントのパスワード定期変更 – 多要素認証の導入 – セキュリティ対策強化による攻撃リスクの低減 |
攻撃の手口
– 攻撃の手口
攻撃者は、まるで家の鍵を開けるかのように、あの手この手でシステムへの侵入を試みます。
まず、巧妙な偽装メールで受信者を騙し、メールの添付ファイルやリンクから悪意のあるプログラムを仕掛ける「フィッシング」という手口があります。
また、システムの更新漏れや設定の隙を狙って侵入を試みるケースも後を絶ちません。
こうした様々な侵入経路を駆使して、攻撃者はシステムの内部に入り込みます。
攻撃者の目的は、システムを自由に操るための「鍵」を手に入れることです。
システムには、重要な情報にアクセスできる特別な権限を持ったアカウントが存在します。
攻撃者は、システムのメモリ上に残された痕跡から、この特別な権限を持つアカウントのパスワード情報を盗み出すことがあります。
この時、「Mimikatz」のような攻撃専用の道具を使うケースが多く見られます。
パスワード情報を手に入れた攻撃者は、それを悪用して「ゴールデンチケット」と呼ばれる、システムを自由に操れる万能な「鍵」を偽造します。
この偽造された「鍵」は、本物の「鍵」と全く見分けがつかず、しかも有効期限がありません。
つまり、攻撃者はシステムに見つかることなく、長期間にわたって重要な情報にアクセスできてしまうのです。
| 攻撃手法 | 危険性 | 対策 |
|---|---|---|
| ゴールデンチケット攻撃 – Kerberos認証の仕組みを悪用 – TGTアカウントのパスワード情報を盗み、偽のチケット(ゴールデンチケット)を作成 – 正規ユーザーになりすまし、あらゆる情報へのアクセスが可能となる |
– 最高レベルの権限を奪取される – 情報の盗難、改ざんの危険性 – 不正アクセスが検知されにくく、長期的な被害の可能性 |
– TGTアカウントのパスワード定期変更 – 多要素認証の導入 – セキュリティ対策強化による攻撃リスクの低減 |
対策
– 対策
悪意のある第三者から重要なシステムを守るためには、多層的な防御策を講じることが重要です。特に、システムの中枢を担う認証情報を狙った攻撃は、早期発見と対策が求められます。
まず、システムへの侵入を防ぐために、基本的なセキュリティ対策を徹底することが重要です。具体的には、常に最新の状態を保つために、OSやソフトウェアのアップデートを定期的に実施します。また、不正アクセスを防ぐための重要な要素として、複雑で推測されにくいパスワードを設定すること、そしてパスワードに加えて別の認証要素を用いる多要素認証の導入を検討する必要があります。
さらに、侵入を未然に防ぐことが難しく、攻撃を受けてしまう可能性も考慮する必要があります。そのため、侵入検知システムやセキュリティ情報イベント管理システム(SIEM)を導入し、システムへの不審なアクセスや挙動を早期に検知できる体制を構築することが重要となります。特に、Mimikatzのような攻撃ツールの使用や、Kerberosチケットの異常な発行といった、認証情報に関連する不審な動きを監視することで、攻撃の兆候をいち早く捉え、被害を最小限に抑えることが可能になります。
| 対策 | 説明 |
|---|---|
| OSやソフトウェアのアップデート | システムへ侵入を防ぐために、OSやソフトウェアを常に最新の状態に保ちます。 |
| 複雑で推測されにくいパスワード設定 | 不正アクセスを防ぐため、パスワードを複雑にします。 |
| 多要素認証の導入 | パスワードに加えて別の認証要素を用いることで、セキュリティを強化します。 |
| 侵入検知システムやSIEMの導入 | 不審なアクセスや挙動を早期に検知します。 |
| 認証情報に関連する不審な動きの監視 | 攻撃の兆候をいち早く捉え、被害を最小限に抑えます。 |
まとめ
– まとめ巧妙に正規ユーザーになりすます「ゴールデンチケット攻撃」は、発見が困難な上に、ひとたび攻撃が許されると、企業や組織にとって壊滅的な被害をもたらす可能性を秘めた、極めて危険なサイバー攻撃です。攻撃者は、システムの脆弱性を突いたり、盗み出したユーザーの認証情報を利用したりして、Windowsネットワークの認証を司る「Kerberos」の仕組みに侵入します。そして、Kerberosの心臓部とも言える「ドメインコントローラー」から、あらゆる権限を自由に発行できる「ゴールデンチケット」と呼ばれる偽造チケットを手に入れてしまいます。ゴールデンチケットは、正規のチケットと見分けがつかないため、攻撃者は本来アクセスできないはずの機密情報や重要システムに、いとも簡単に侵入できてしまうのです。しかも、有効期限切れの心配もなく、長期にわたって不正アクセスを繰り返すことができてしまいます。システム管理者は、このようなゴールデンチケット攻撃の脅威から組織を守るために、本稿で解説した攻撃手法と対策を深く理解し、適切なセキュリティ対策を講じることが重要となります。具体的には、システムへのアクセス制御を強化し、不審なアクセスを早期に検知できるような監視体制を整えなければなりません。また、ソフトウェアの最新状態を保ち、脆弱性を解消することも重要です。そして、従業員に対してセキュリティ意識向上のための研修を実施し、パスワード管理の徹底や、フィッシング詐欺への注意喚起を行う必要があります。ゴールデンチケット攻撃は、決して他人事ではありません。組織の重要な資産を守るためにも、今すぐ対策を強化しましょう。
| 攻撃手法 | 対策 |
|---|---|
| システムの脆弱性をついたり、盗み出したユーザーの認証情報を利用したりして、Windowsネットワークの認証を司る「Kerberos」の仕組みに侵入し、Kerberosの心臓部とも言える「ドメインコントローラー」から、あらゆる権限を自由に発行できる「ゴールデンチケット」と呼ばれる偽造チケットを入手する。 |
|