なりすまし攻撃を防ぐには ~ パスザハッシュ/パスザチケットとは?~
セキュリティを高めたい
「Pass-the-Hash / Pass-the-Ticket」って、認証情報を盗んで他のコンピュータに不正アクセスする攻撃だってことまではわかったんだけど、具体的に何がどう盗まれるのかよくわからないんです。
情報セキュリティ専門家
なるほど。「Pass-the-Hash」と「Pass-the-Ticket」は、盗むものが違うんだよ。それぞれ、コンピュータに保存されている「パスワードのハッシュ値」と「認証チケット」を盗む攻撃なんだ。
セキュリティを高めたい
「パスワードのハッシュ値」と「認証チケット」…違いがよくわからないです。
情報セキュリティ専門家
簡単に言うと、「パスワードのハッシュ値」はパスワードを複雑にしたもの、「認証チケット」は一度認証されると発行される通行証のようなものなんだ。どちらも本来は安全に保管されるべきものだけど、攻撃者に盗まれてしまうと、なりすましに使われてしまうんだね。
Pass-the-Hash /Pass-the-Ticketとは。
「情報セキュリティの専門用語で『認証情報の不正利用』と呼ばれる攻撃手法があります。これは、パソコンやサーバーに保存されたログイン情報を盗み出して、悪用する攻撃です。古いWindowsの認証方式を使っている場合、パソコンにはユーザーのパスワード情報が複雑な文字列に変換された形で記憶されていることがあります。攻撃者はこの情報や、認証チケットと呼ばれるログイン許可証を盗み出すことで、本来のユーザーになりすまして、他のパソコンやサーバーに不正アクセスしようとします。パスワード情報を盗む攻撃を『パスワードハッシュの不正利用』、認証チケットを盗む攻撃を『認証チケットの不正利用』と呼びます。攻撃者は様々な手段を使って、正しいユーザー名とパスワードのハッシュ値を手に入れようとします。そして、その情報を使って、他のサーバーにログインし、正規のユーザーになりすまして攻撃を行います。認証チケットの不正利用では、Kerberos認証という仕組みで使われる正規の認証チケットを盗み出して、正規のユーザーになりすまします。攻撃者は、長く使えるアクセス権限を手に入れたり、攻撃の発覚を免れるために、管理者になりすますための特別な認証チケットを作るケースが多いです。管理者の権限を奪われると、社内ネットワーク全体が乗っ取られ、しかも発覚が難しくなるため、記録を調べて早期発見することが重要になります。
はじめに
今日では、あらゆる企業や組織にとって、情報の安全を守ることは最も重要な仕事の一つとなっています。特に、許可なくシステムに侵入され、そこから情報が漏れてしまう被害が増加しており、深刻な問題となっています。
こうした不正アクセスの中でも、近年特に巧妙化しているのが「パスザハッシュ/パスザチケット」と呼ばれる攻撃手法です。
この手法は、パスワードそのものではなく、パスワードを元にシステムが作成する「通行証」のような情報を盗み出すことで、不正にシステムへ侵入してしまいます。
本来、この「通行証」はセキュリティを高めるために利用されるものですが、攻撃者はこの仕組みを逆手に取り、あたかも正規の利用者のようにシステムにアクセスできてしまうのです。
今回は、この「パスザハッシュ/パスザチケット」という攻撃が、具体的にどのような仕組みで行われ、企業や組織にどのような被害をもたらすのかについて詳しく解説します。
そして、この攻撃から重要な情報資産を守るためには、どのような対策を講じるべきなのか、具体的な方法を紹介します。
情報セキュリティの専門家だけでなく、システム管理者や一般の利用者にとっても、この攻撃手法への理解を深め、適切な対策を施すことが重要です。
攻撃手法 | 概要 | 目的 | 対策 |
---|---|---|---|
パスザハッシュ/パスザチケット | パスワードではなく、パスワードを元にシステムが作成する「通行証」を盗み出すことで、不正にシステムへ侵入する。 | 正規の利用者のようにシステムにアクセスし、情報を盗み出す。 | 攻撃手法への理解を深め、適切な対策を施す。 |
パスザハッシュ/パスザチケットとは
– パスザハッシュ/パスザチケットとは
パスザハッシュ/パスザチケット攻撃は、認証情報を悪用して、本来アクセスできないはずのシステムやデータへの不正アクセスを試みる、危険なサイバー攻撃の一種です。
通常、私たちがシステムにログインする際に使用するパスワードは、ネットワーク上をそのままの形で送信されることはありません。その代わりに、パスワードを元に数学的な処理を施したハッシュ値や、一時的なアクセス許可証であるチケットが用いられます。これは、万が一、通信内容が盗聴されたとしても、パスワードそのものが漏洩するのを防ぐための仕組みです。
しかし、パスザハッシュ/パスザチケット攻撃では、攻撃者はまず、標的となるシステムに侵入し、端末に保存されているこれらのハッシュ値やチケットを窃取します。そして、盗み出した認証情報を悪用して、正規のユーザーになりすまし、本来アクセスできないはずのシステムやデータにアクセスを試みます。
特に、Windowsの認証システムであるLM認証、NTLM認証、Kerberos認証は、パスザハッシュ/パスザチケット攻撃の標的になりやすいことで知られています。これらの認証システムは、広く普及している一方で、脆弱性を抱えている場合があり、攻撃者にとって格好の標的となっています。
パスザハッシュ/パスザチケット攻撃からシステムを守るためには、強力なパスワードを設定するだけでなく、多要素認証の導入や、認証情報の定期的な変更など、様々な対策を講じることが重要です。
攻撃手法 | 概要 | 対策 |
---|---|---|
パスザハッシュ/パスザチケット攻撃 | 認証情報(ハッシュ値やチケット)を盗取し、正規ユーザーになりすまして不正アクセスする攻撃 | – 強力なパスワード設定 – 多要素認証の導入 – 認証情報の定期的な変更 |
パスザハッシュ
– パスザハッシュパスザハッシュ攻撃は、パスワードそのものではなく、パスワードのハッシュ値を悪用する巧妙な攻撃手法です。まず攻撃者は、標的となるコンピュータにマルウェアを仕込んだり、脆弱性を突いたりして侵入し、管理者権限を奪取します。そして、メモリ上に残されたパスワードのハッシュ値を窃取します。パスワードは通常、ハッシュ化されて保存されています。ハッシュ化とは、元のデータを一定の規則に基づいて変換し、全く異なる文字列に変換することです。この処理は一方向性であり、ハッシュ値から元のパスワードを復元することは非常に困難です。しかしパスザハッシュ攻撃では、攻撃者はハッシュ値からパスワードを復元する必要がありません。窃取したハッシュ値をそのまま利用して、ネットワーク上の別のコンピュータにアクセスを試みるのです。多くのシステムでは、認証の際にパスワードそのままでなく、ハッシュ値を用いる場合があります。そのため、攻撃者は正当なユーザーのように振る舞い、アクセス権限を取得できてしまう可能性があります。パスザハッシュ攻撃からシステムを守るには、強力なパスワードポリシーの導入、多要素認証の利用、ネットワークのセグメント化など、多層的なセキュリティ対策が必要となります。
攻撃手法 | 概要 | 対策 |
---|---|---|
パスザハッシュ攻撃 | パスワードのハッシュ値を盗み出し、そのハッシュ値をそのまま利用して別のコンピュータへのアクセスを試みる攻撃手法。ハッシュ値からパスワードを復元する必要がないため、非常に危険。 | – 強力なパスワードポリシーの導入 – 多要素認証の利用 – ネットワークのセグメント化 |
パスザチケット
「パスザチケット」攻撃は、コンピュータネットワークにおいて、あたかも合鍵を使うかのように、本来アクセスを許可されていないはずの資源に侵入を試みる不正行為です。この攻撃は、特に企業内ネットワークなどで広く導入されている「Kerberos認証」と呼ばれる仕組みの Sicherheitslücke を突いたものです。Kerberos認証では、ユーザーがネットワーク上のサービスにアクセスする際、サービスへの「入場チケット」に相当する「認証チケット」を発行します。このチケットは、ユーザーの身元を証明し、アクセス権限を管理するために重要な役割を担っています。「パスザチケット」攻撃では、攻撃者はまず、標的となるネットワークに侵入し、既にアクセス権を持つユーザー、特に管理者権限を持つユーザーのコンピュータからメモリ上に保存されている認証チケットを盗み出します。認証チケットは、いわばユーザーの身分証明書のようなものです。攻撃者は、盗み出したチケットを悪用することで、あたかも正規のユーザーであるかのようにネットワーク上のサービスにアクセスできてしまうのです。この攻撃の恐ろしい点は、パスワードなどの認証情報を知らなくても、チケットさえ盗み出してしまえば、容易に成りすましができてしまうことです。そのため、パスワードの変更や複雑化といった対策は効果がなく、攻撃を受けると甚大な被害をもたらす可能性があります。「パスザチケット」攻撃からネットワークを守るためには、認証チケットの有効期限を短く設定したり、チケットを暗号化するなどの対策が有効です。また、多要素認証の導入など、複数のセキュリティ対策を組み合わせることで、攻撃のリスクを低減することができます。
攻撃手法 | 概要 | 対策 |
---|---|---|
パスザチケット攻撃 | Kerberos認証の脆弱性を悪用し、正規ユーザーの認証チケットを盗取することで、あたかも正規ユーザーになりすまして、アクセス権限のないリソースへのアクセスを試みる攻撃。 | – 認証チケットの有効期限を短縮する – チケットの暗号化 – 多要素認証の導入 |
危険な認証チケット:ゴールデンチケットとシルバーチケット
「パスザチケット」攻撃において、特に注意が必要な偽造チケットとして、「ゴールデンチケット」と「シルバーチケット」の二つが挙げられます。 「ゴールデンチケット」は、まさにその名の通り、攻撃者にとって「黄金の鍵」となる危険な認証チケットです。これは、組織内のコンピュータアカウントの認証を司る、いわば「要塞」とも言えるドメインコントローラーのアカウント情報(ハッシュ値)を盗み出すことで作成されます。このチケットを手に入れた攻撃者は、あたかも正規の管理者であるかのように振る舞い、組織内のあらゆるデータにアクセスすることが可能になります。 一方、「シルバーチケット」は、特定のサービスにアクセスするためのアカウント情報(ハッシュ値)を盗用して作成されるチケットです。このチケットを用いることで、攻撃者はそのサービスになりすまし、不正にアクセスを試みます。 ゴールデンチケットと比較すると、シルバーチケットは特定のサービスに限定された権限しか持ちませんが、それでも組織に深刻な被害をもたらす可能性があります。 ゴールデンチケットとシルバーチケットはどちらも、一度作成されると長期にわたり有効期限が残る可能性があり、発見が非常に困難です。そのため、これらの攻撃から組織を守るためには、多層防御のセキュリティ対策と、継続的な監視体制の構築が不可欠です。
チケットの種類 | 特徴 | 危険性 |
---|---|---|
ゴールデンチケット | ドメインコントローラーのアカウント情報を利用して作成 | 管理者権限で組織内のあらゆるデータにアクセス可能 |
シルバーチケット | 特定サービスのアカウント情報を利用して作成 | 特定サービスになりすまし、不正アクセスが可能 |
対策
– 対策「パスザハッシュ」や「パスザチケット」といった攻撃は、認証情報を悪用することで、あたかも正規の利用者のようにシステムに侵入を許してしまう危険な攻撃です。このような攻撃から貴重な情報資産を守るためには、多層防御という考え方に基づいた対策が重要となります。まず、基本となるのはパスワードの強化です。推測されにくい、複雑なパスワードを設定するとともに、一つのパスワードを使い回すことは避け、定期的に変更することが重要です。さらに、パスワードに加えてスマートフォンアプリなどで生成されるワンタイムパスワードなどを組み合わせる多要素認証を取り入れることで、より強固な認証を実現できます。また、システム管理の面では、利用者ごとに必要最小限の権限を付与するアカウント権限の分離を徹底することが大切です。仮に一つのアカウントが侵害された場合でも、被害を最小限に抑えられます。これらの基本的な対策に加えて、セキュリティソフトの導入も有効です。常に最新の状態に保ち、未知の脅威にも対応できるようにしておくことが重要です。ネットワークの出入り口には、ファイアウォールを設置し、不正なアクセスを遮断することも有効な手段です。そして、これらの対策を講じても、攻撃を完全に防ぐことは難しいのが現実です。そのため、システムへの不正アクセスをいち早く発見するために、定期的なセキュリティ監査やログの分析を行い、不審な兆候がないか監視を続けることが重要となります。もし、不正アクセスを発見した場合には、速やかに対応し、被害の拡大を防ぐことが重要です。
対策 | 説明 |
---|---|
パスワードの強化 | – 推測されにくい、複雑なパスワードを設定する – パスワードを使い回さない – 定期的にパスワードを変更する |
多要素認証の導入 | – パスワードに加えて、ワンタイムパスワードなどを組み合わせる |
アカウント権限の分離 | – 利用者ごとに必要最小限の権限を付与する |
セキュリティソフトの導入 | – 常に最新の状態に保つ |
ファイアウォールの設置 | – ネットワークの出入り口に設置し、不正なアクセスを遮断する |
定期的なセキュリティ監査とログ分析 | – 不正アクセスをいち早く発見する |