ゴールデンチケット

サイバー犯罪

パスワード不要!?パス・ザ・チケット攻撃にご用心

- はじめにと近年、企業や組織を標的とした悪意のある攻撃は、増加の一途をたどっています。その巧妙さも増しており、情報セキュリティ対策は企業にとって避けることのできない喫緊の課題となっています。企業は、様々な脅威から重要なシステムやデータを保護することが求められています。今回は、パスワードなどの認証情報そのものを盗まれなくても、認証を突破されてしまう可能性のある「パス・ザ・チケット攻撃」について詳しく解説していきます。 パス・ザ・チケット攻撃とは、攻撃者が正規ユーザーの認証情報を不正に入手し、それを利用してシステムにアクセスする攻撃です。従来の攻撃では、パスワードを盗み出すために複雑な技術が使われていましたが、パス・ザ・チケット攻撃では、認証情報そのものを盗み出す必要がありません。 この攻撃は、正規ユーザーになりすましてシステムにアクセスするため、検知が非常に困難です。そのため、企業は、パス・ザ・チケット攻撃に対する適切な対策を講じることが重要です。具体的な対策としては、多要素認証の導入やアクセス権の適切な管理などが挙げられます。
認証

見えない鍵?:ゴールデンチケット攻撃からシステムを守る

- ゴールデンチケット攻撃とは企業のネットワークにおいて、社員ひとりひとりのアクセス権を管理し、情報資産を守る上で、Active Directoryと呼ばれるシステムがよく利用されています。このシステムでは、Kerberos認証という仕組みを用いて、アクセスを許可された正当な利用者であるかを判断します。利用者がシステムやサービスを利用しようとするとき、チケットと呼ばれる通行証のようなものが発行され、このチケットを提示することで、初めてアクセスが許可される仕組みです。ゴールデンチケット攻撃は、このKerberos認証の仕組みを悪用した、非常に危険なサイバー攻撃です。攻撃者は、チケットを発行するシステムの中枢を担う「TGTアカウント」のパスワード情報を入手することで、偽のチケットを作り出すことができてしまいます。そして、この偽造チケット、すなわち「ゴールデンチケット」を利用すると、あたかも正規の利用者のように振る舞えてしまうため、Active Directoryで管理されたあらゆる情報にアクセスできてしまう危険性があります。ゴールデンチケット攻撃が恐ろしい点は、一度攻撃が成功してしまうと、攻撃者は最高レベルの権限を手に入れ、ネットワーク上のあらゆる情報を盗み見たり、改ざんしたりできてしまう点にあります。しかも、正規の利用者になりすましているため、不正なアクセスと気付かれにくく、長期にわたって被害が続く可能性もあります。そのため、企業はゴールデンチケット攻撃に対する対策を講じておくことが重要です。具体的には、TGTアカウントのパスワードを定期的に変更したり、多要素認証を導入したりするなど、セキュリティ対策を強化することで、攻撃のリスクを低減できます。