Golden Ticket攻撃:管理者になりすます危険な認証チケット
- Golden Ticket とは
-# Golden Ticket とは
「Golden Ticket」は、企業内ネットワークの認証システム「Active Directory」のセキュリティを脅かす、非常に危険な攻撃手法です。
Active Directoryでは、「Kerberos認証」という仕組みが使われており、ユーザーがサービスを利用する際、二種類の電子的なチケットを用いて認証を行います。一つは「TGT(Ticket Granting Ticket)」と呼ばれるもので、ユーザーの身元を証明するものです。もう一つは「サービスチケット」で、特定のサービスへのアクセス許可を証明します。
「Golden Ticket」は、この「TGT」を偽造することによって、攻撃者が正規のユーザーになりすますことを可能にする攻撃です。
攻撃者は、Active Directoryのサーバーに侵入し、Kerberos認証の基盤となる暗号鍵を取得することで、「Golden Ticket」を作成します。 この偽造チケットを用いることで、攻撃者はあたかも正規のユーザーであるかのように振る舞い、機密情報へのアクセスやシステムの改ざんといった、本来許されていない操作を実行することが可能になります。
「Golden Ticket」攻撃の恐ろしさは、一度作成されてしまうと、有効期限が設定されていない限り、半永久的に悪用され続ける可能性がある点にあります。 攻撃者は、検知を免れるために、長期間にわたって潜伏し、機密情報を盗み見たり、システムにバックドアを仕掛けたりする可能性があります。
「Golden Ticket」攻撃からシステムを守るためには、Active Directoryのサーバーに対する厳格なアクセス制御や、セキュリティ更新プログラムの迅速な適用など、多層的なセキュリティ対策が不可欠です。