NTLMリレー攻撃から身を守る!
セキュリティを知りたい
先生、「NTLMリレー攻撃」ってなんですか?セキュリティの勉強をしていて出てきたんですが、よくわかりません。
セキュリティ研究家
「NTLMリレー攻撃」は、簡単に言うと、誰かがパソコンにログインするときに使う「合い言葉」のようなものを盗み見て、悪用する攻撃のことだよ。古いパソコンシステムで使われている「NTLM」という仕組みの弱点をついたものなんだ。
セキュリティを知りたい
「合い言葉」を盗み見ると、どんな悪いことができるんですか?
セキュリティ研究家
例えば、盗み見た「合い言葉」を使って、本来アクセスできないはずの重要なファイルを見たり、書き換えたりすることができてしまうんだ。だから、古いシステムを使っている場合は特に、「NTLMリレー攻撃」への対策が重要になるんだよ。
NTLMリレー攻撃とは。
コンピューターの安全性を高めるために、今回は「NTLM中継攻撃」というものを解説します。
「NTLM中継攻撃」は、古いWindowsサーバーで使われている「NTLM」という認証方式の弱点をついた攻撃です。
簡単に言うと、サーバーとパソコンの間でやり取りされる認証情報を盗み見て、攻撃者が本来のパソコンになりすます攻撃です。
これは、まるで二人の間の会話を盗聴して、本人になりすますようなものと考えるとイメージしやすいかもしれません。
この「NTLM中継攻撃」には、サーバーの管理者権限を奪う「PetitPotam攻撃」など、様々な種類が存在します。
また、2023年には、メールソフト「Microsoft Outlook」の弱点が見つかりました。この弱点は、特別なメールを送ることで、攻撃者が「NTLM」の認証情報を盗み出すことを可能にするもので、「NTLM中継攻撃」にも悪用されていることが確認されています。
このように、「NTLM中継攻撃」は、様々な方法で悪用される可能性のある危険な攻撃です。
Windowsの認証方式とNTLMリレー攻撃
皆さんは、普段何気なく使っているWindowsパソコンですが、その認証方式についてどれくらいご存知でしょうか? 実は、Windowsの古い認証方式であるNTLMには、セキュリティ上の弱点が存在し、悪意のある攻撃者に悪用される危険性があります。今回は、その代表的な攻撃の一つである「NTLMリレー攻撃」について詳しく解説していきます。
NTLMリレー攻撃とは、攻撃者がサーバーとクライアントの間に侵入し、あたかも正規のクライアントになりすまして認証を試みる攻撃です。
攻撃者は、サーバーとクライアントの間でやり取りされる認証情報を盗聴し、それを利用してサーバーへ不正にアクセスします。例えば、無料のWi-Fiが提供されているカフェで、インターネットを利用してネットショッピングを楽しむ場合を考えてみましょう。実は、そのWi-Fiに攻撃者が仕掛けを施しており、あなたの通信内容が密かに盗み見られているかもしれません。
あなたがネットショッピングのサイトでIDとパスワードを入力すると、攻撃者はその情報を盗み取り、あなたのアカウントに不正アクセスできてしまう可能性があります。これが、NTLMリレー攻撃の恐ろしさです。
このような攻撃から身を守るためには、NTLM認証よりも安全性の高いKerberos認証の使用を検討したり、可能な限りセキュリティ対策が施されたWi-Fiを利用したりすることが重要です。
| 攻撃手法 | 解説 | 対策 |
|---|---|---|
| NTLMリレー攻撃 | 攻撃者がサーバーとクライアントの間に侵入し、正規のクライアントになりすまして認証情報を盗聴し、サーバーへ不正アクセスする攻撃 | – NTLM認証よりも安全性の高いKerberos認証の使用 – セキュリティ対策が施されたWi-Fiの利用 |
PetitPotam攻撃:ドメインコントローラ乗っ取りの脅威
– PetitPotam攻撃ドメインコントローラ乗っ取りの脅威企業ネットワークにおいて、認証情報を悪用した攻撃は、その影響の大きさから常に警戒が必要とされています。特に、NTLMリレー攻撃と呼ばれる攻撃手法は、その巧妙さから長年にわたり脅威となっています。そして近年、このNTLMリレー攻撃をさらに進化させた「PetitPotam攻撃」が出現し、セキュリティ関係者に衝撃を与えています。PetitPotam攻撃は、企業ネットワークの中枢を担うドメインコントローラを標的にした攻撃です。ドメインコントローラは、ネットワーク上のユーザー認証やアクセス制御など、重要な役割を担っています。そのため、もしドメインコントローラが攻撃者に乗っ取られてしまうと、企業ネットワーク全体が危険にさらされることになります。PetitPotam攻撃は、攻撃対象のコンピュータになりすまして、ドメインコントローラに対して認証要求を送りつけます。そして、ドメインコントローラが正規の認証手続きに従って応答すると、その情報を盗み取ります。攻撃者は盗み取った情報を利用して、ドメインコントローラになりすまし、ネットワークへのアクセス権を取得します。こうすることで、攻撃者は企業の機密情報にアクセスしたり、システムを改ざんしたりすることが可能になります。PetitPotam攻撃は、従来のセキュリティ対策では防ぐことが難しい場合があり、その脅威は深刻です。そのため、企業は、ドメインコントローラを最新の状態に保つ、多要素認証を導入するなど、適切な対策を講じる必要があります。また、最新の脅威に関する情報を収集し、常にセキュリティ意識を高めておくことが重要です。
| 脅威 | 概要 | 対策 |
|---|---|---|
| PetitPotam攻撃 | NTLMリレー攻撃を進化させた攻撃手法。ドメインコントローラになりすまして認証要求を送りつけ、正規の応答から情報を盗み取り、ネットワークアクセス権を取得する。 | – ドメインコントローラを最新の状態に保つ – 多要素認証を導入する – 最新の脅威情報収集とセキュリティ意識の向上 |
Outlookの脆弱性:メールから始まる攻撃
– Outlookの脆弱性メールから始まる攻撃2023年に明らかになったMicrosoft Outlookの脆弱性は、私たちが日常的に利用するメールが、思わぬ危険性をはらんでいることを露呈しました。その危険性とは、悪意のある人物によって巧妙に細工されたメールを開くだけで、アカウントへの不正アクセスを許してしまうというものです。具体的には、攻撃者はこの脆弱性を利用し、特別な細工を施したメールを送信することで、受信者のNTLMハッシュと呼ばれる情報を盗み取ることができます。NTLMハッシュとは、パスワードの代わりとなる重要な情報です。この情報が盗まれてしまうと、攻撃者はパスワードを直接知ることなく、あたかも正しいパスワードを入力したかのように、アカウントに不正にログインできてしまうのです。これは、家の鍵を変えることなく、合鍵を作られてしまうようなものであり、非常に危険な状態と言えます。しかも、この脆弱性の恐ろしい点は、受信者がメールを開いただけ、つまり本文を読んだり、添付ファイルを開いたりしなくても、攻撃が成立してしまう可能性があるという点です。このため、普段からセキュリティ対策ソフトを最新の状態に保つとともに、送信元不明のメールは開かないなど、メールの取り扱いには十分な注意を払うことが重要です。
| 項目 | 内容 |
|---|---|
| 脆弱性の概要 | 特別な細工をしたメールを開くだけで、アカウントへの不正アクセスが可能になる |
| 攻撃の手口 | メールを開いた際に、NTLMハッシュと呼ばれるパスワードの代わりとなる情報を盗み取る |
| 危険性 | 攻撃者はパスワードを知らなくても、アカウントに不正ログインできてしまう |
| 対策 |
|
NTLMリレー攻撃から身を守るために
今回は、ネットワークを介して情報のやり取りをする際に、なりすましによる情報漏えいを防ぐための認証に関する注意点を解説します。
これまで長い間、認証の仕組みとしてNTLMという方法が使われてきました。しかし、技術の進歩とともに、NTLMを利用した攻撃手法が編み出されてきました。
そこで、より安全性を高めるために、NTLMに代わる新しい認証方法を導入することが重要です。具体的には、Kerberos認証や、複数の要素を組み合わせた認証を導入することで、セキュリティを強化できます。
ネットワークのセキュリティ対策も重要です。外部からの侵入を防ぐための仕組みや、怪しい通信を検知する仕組みを導入することで、攻撃のリスクを減らすことが可能です。
情報技術は常に進歩しており、攻撃の手口も巧妙化しています。そのため、常に最新の情報を入手し、システムを最新の状態に保つことが重要です。情報機器の提供元から提供される更新プログラムは、定期的に適用するようにしましょう。
| ポイント | 内容 |
|---|---|
| なりすまし対策 | 従来のNTLM認証は脆弱性があるため、Kerberos認証など、より安全な認証方法を導入する |
| ネットワークセキュリティ対策 | 外部からの侵入を防ぐ仕組みや、怪しい通信を検知する仕組みを導入する |
| システムのアップデート | 常に最新の情報を入手し、システムを最新の状態に保つ。提供元からの更新プログラムは定期的に適用する |
まとめ
今回は、ネットワークセキュリティにおいて特に注意が必要な攻撃手法である「NTLMリレー攻撃」について、その脅威と対策をまとめました。
NTLMリレー攻撃は、Windowsの古い認証方式であるNTLMの脆弱性を突いた攻撃です。この攻撃は、ユーザーが認証を行う際に、攻撃者が介在することで成立します。攻撃者は、ユーザーになりすましてサーバーに接続し、機密情報へのアクセスや不正な操作を実行することが可能となります。
具体的には、攻撃者はまず、ユーザーが認証しようとするサーバーとの間に割り込み、ユーザーからの認証要求を傍受します。そして、その要求をそのまま別のサーバーに転送することで、あたかも自分が正規のユーザーであるかのように振る舞います。この際、NTLM認証では、パスワード自体ではなく、パスワードから生成されたハッシュ値を用いるため、攻撃者は実際のパスワードを知らなくても認証を突破できてしまう可能性があります。
NTLMリレー攻撃による被害を防ぐためには、NTLM認証の使用を停止し、より安全な認証方式に移行することが重要です。具体的には、Kerberos認証やNTLMv2認証など、より強力な認証プロトコルを導入することで、攻撃のリスクを大幅に低減することができます。
今回の内容を参考に、自社のシステムにおけるNTLM認証の利用状況を見直し、必要に応じてより安全な仕組みに移行することで、NTLMリレー攻撃から大切な情報資産を守りましょう。
| 攻撃手法 | 脅威 | 対策 |
|---|---|---|
| NTLMリレー攻撃 | Windowsの古い認証方式であるNTLMの脆弱性を突いた攻撃。 ユーザーが認証を行う際に攻撃者が介在し、ユーザーになりすましてサーバーに接続。 機密情報へのアクセスや不正な操作の実行が可能になる。 |
NTLM認証の使用を停止し、より安全な認証方式に移行 ・Kerberos認証やNTLMv2認証など、より強力な認証プロトコルを導入 |