NTLMリレー攻撃:その脅威と対策

NTLMリレー攻撃:その脅威と対策

セキュリティを高めたい

先生、「NTLMリレー攻撃」ってなんですか?なんだか難しそうな名前で…

情報セキュリティ専門家

そうだね、「NTLMリレー攻撃」は少し難しい話になるね。簡単に言うと、ずる賢い人が、本来はアクセスできない人のパソコンになりすまして、こっそり侵入する方法なんだよ。

セキュリティを高めたい

なりすます…って、どうやってですか?

情報セキュリティ専門家

例えば、君が友達に手紙を送るときに、途中で誰かがその手紙を盗んで、中身を書き換えてから友達に渡してしまうとする。そうすると、友達は君が書いたものだと思ってしまうよね?「NTLMリレー攻撃」は、この手紙を盗んで書き換える行為に少し似ているんだ。ただし、パソコンの世界での話になるけどね。

NTLMリレー攻撃とは。

「情報セキュリティの分野で使われる言葉、『NTLMリレー攻撃』について説明します。これは、WindowsServerというシステムで使われていた、少し古い認証方式であるNTLMを狙った攻撃です。攻撃者は、サーバーとクライアントの間でやり取りされる認証情報を盗み見て、本来のクライアントになりすまして認証を突破します。これは、まるで二人の間に入り込んで情報を盗み聞きするような攻撃で、中間者攻撃とも呼ばれます。NTLMリレー攻撃には、PetitPotam攻撃のように、ドメインコントローラーという重要なサーバーを乗っ取ってしまうような危険な種類も存在します。2023年には、MicrosoftOutlookというメールソフトの、これまで知られていなかった弱点が見つかりました(CVE-2023-23397)。これは、特別な細工をしたメールを送ることで、攻撃者がNTLMの認証情報を盗み出すことを可能にするもので、実際にNTLMリレー攻撃に悪用されていることが確認されています。

NTLMリレー攻撃とは

NTLMリレー攻撃とは

– NTLMリレー攻撃とは

NTLMリレー攻撃は、Windows Serverで使用されている認証システムの弱点をついた攻撃です。

Windows Serverでは、パソコンやサーバーにログインする際に、正しいユーザーかどうかを確認する仕組みが必要です。
この仕組みを認証と呼びますが、NTLMはこの認証を行うための古い方法の一つです。

NTLMリレー攻撃では、攻撃者はサーバーとパソコンなどの間に入り込み、認証に必要な情報を盗み見ます。

本来はパソコンからサーバーに送られるはずの情報が、攻撃者の手に渡ることで、攻撃者はあたかも正規のユーザーであるかのように振る舞うことができるようになります。

これは、ちょうど宅配便を例に例えるとわかりやすいでしょう。

本来、荷物は送り主から受け取り主へ直接届けられるべきですが、途中で誰かが荷物を横取りし、中身を盗み見した上で、受け取り主に届けたとします。

受け取り主は、荷物が途中で盗み見されていたことに気づかず、攻撃者は荷物の内容を知ることができてしまいます。

NTLMリレー攻撃もこれと同じように、本来やり取りされるべきではない情報が攻撃者に渡ってしまうことで、システムへの不正アクセスを許してしまう危険性があります。

攻撃手法 概要 例え
NTLMリレー攻撃 Windows Serverの認証システム「NTLM」の弱点をついた攻撃。
攻撃者はサーバーとクライアント間に入り込み、認証情報を盗み見て、正規のユーザーになりすます。
宅配便を横取りして中身を盗み見し、受け取り主に届ける。

攻撃の手口

攻撃の手口

– 攻撃の手口
コンピュータネットワークにおける攻撃の一例として、NTLMリレー攻撃と呼ばれる手法があります。

この攻撃では、まず攻撃者はサーバーとクライアント間の通信経路上に侵入し、あたかも中継地点のように位置します。そして、クライアントがサーバーに対して認証を要求する通信を、攻撃者は密かに傍受します。

認証の過程で、サーバーはクライアントに対して認証のための質問(チャレンジ)を送信します。攻撃者はこのやり取りを盗聴し、サーバーからのチャレンジの内容を把握します。

次に、攻撃者はクライアントになりすまし、盗み見たチャレンジに対する回答をサーバーに送信します。サーバーは、受け取った回答が正しいと判断すると、攻撃者を正当なクライアントだと誤認し、アクセスを許可してしまうのです。

このように、NTLMリレー攻撃は、攻撃者がサーバーとクライアント間の通信を中継し、認証情報を盗み見て悪用することで、不正なアクセスを実現する攻撃手法です。

攻撃フェーズ 攻撃者の行動 結果
1. 中継地点への侵入 攻撃者はサーバーとクライアント間の通信経路上に侵入し、中継地点を確立します。 攻撃者は通信を傍受できるようになります。
2. チャレンジの傍受 攻撃者はクライアントがサーバーに認証を要求する通信を盗聴し、サーバーからのチャレンジの内容を把握します。 攻撃者は認証に必要な情報を取得します。
3. なりすましと回答の送信 攻撃者はクライアントになりすまし、盗み見たチャレンジに対する回答をサーバーに送信します。 サーバーは攻撃者を正当なクライアントと誤認します。
4. 不正アクセス サーバーは攻撃者からのアクセスを許可します。 攻撃者は不正にシステムへアクセス可能になります。

具体的な攻撃例

具体的な攻撃例

– 具体的な攻撃例NTLMリレー攻撃は、その仕組み上、様々なバリエーションが存在し、攻撃者は状況に合わせて攻撃手法を変化させてきます。ここでは、代表的な二つの攻撃例を通して、その脅威を具体的に見ていきましょう。一つ目は、「PetitPotam攻撃」と呼ばれる攻撃手法です。この攻撃は、Windowsネットワークで広く利用されている機能の脆弱性を突くことで、攻撃者が正規のドメインコントローラになりすますことを可能にします。ドメインコントローラは、ネットワーク全体のユーザー認証やアクセス制御を一括管理する、いわばネットワークの心臓部です。攻撃者は、この重要拠点になりすますことで、システム全体を掌握しようと試みるのです。二つ目は、2023年に発見されたMicrosoft Outlookの脆弱性「CVE-2023-23397」を悪用した攻撃です。この脆弱性は、攻撃者によって悪用されると、ユーザーが気付かないうちにNTLMハッシュと呼ばれる認証情報を盗み出すことが可能になります。NTLMハッシュは、ネットワーク上のリソースへのアクセスに利用される重要な情報であり、これが盗まれると、攻撃者はユーザーになりすましてシステムに侵入できてしまいます。この脆弱性は、NTLMリレー攻撃と組み合わせることで、さらに危険度が増すことが懸念されています。このように、NTLMリレー攻撃は、単独でも脅威となりえますが、他の脆弱性と組み合わされることで、より深刻な被害をもたらす可能性があります。そのため、企業や組織は、常に最新のセキュリティ対策を講じることが重要です。

攻撃手法 概要 脅威
PetitPotam攻撃 Windowsネットワークの機能の脆弱性を悪用し、攻撃者がドメインコントローラになりすます。 ドメインコントローラはユーザー認証やアクセス制御を管理するため、システム全体が掌握される危険性がある。
CVE-2023-23397の悪用 Microsoft Outlookの脆弱性を悪用し、ユーザーのNTLMハッシュを盗み出す。 NTLMハッシュはネットワークリソースへのアクセスに利用されるため、盗まれるとユーザーになりすましてシステムに侵入される危険性がある。

脅威と影響

脅威と影響

– 脅威と影響NTLMリレー攻撃が成功した場合、企業は様々な脅威にさらされる可能性があります。攻撃者は、盗み出した認証情報を悪用し、機密情報へのアクセス、システムの改ざん、サービスの妨害といった悪質な行為を実行することが可能になります。特に、企業ネットワークにおいては、ドメインコントローラが攻撃対象となるケースが非常に危険です。ドメインコントローラは、ネットワーク全体のユーザー認証やセキュリティポリシーの管理などを一手に担う重要なサーバーです。もしも攻撃者によってドメインコントローラが乗っ取られてしまうと、企業ネットワーク全体が攻撃者の支配下に置かれ、機密情報の大量窃取やシステムの完全な掌握といった、甚大な被害が発生する可能性があります。具体的な被害としては、顧客情報や財務データなどの機密情報の漏洩、業務システムの改ざんによる業務妨害、ランサムウェアによるシステムの暗号化などが考えられます。これらの被害は、企業の評判失墜、多額の金銭的損失、業務の長期停止など、深刻な影響をもたらす可能性があります。NTLMリレー攻撃は、その仕組み上、攻撃が成功しやすいという特徴があります。そのため、企業は、NTLMリレー攻撃に対する対策を早急に講じる必要があります。具体的には、NTLM認証の無効化、多要素認証の導入、ネットワークのセグメント化などの対策を検討する必要があります。これらの対策を組み合わせることで、NTLMリレー攻撃のリスクを大幅に低減することができます。

脅威 影響 対策
NTLMリレー攻撃 機密情報へのアクセス、システムの改ざん、サービスの妨害
ドメインコントローラが乗っ取られた場合、機密情報の大量窃取やシステムの完全な掌握といった甚大な被害
顧客情報や財務データなどの機密情報の漏洩、業務システムの改ざんによる業務妨害、ランサムウェアによるシステムの暗号化
NTLM認証の無効化
多要素認証の導入
ネットワークのセグメント化

対策

対策

– 対策

NTLMリレー攻撃から大切な情報を守るためには、いくつかの対策を組み合わせることが重要です。

まず、攻撃者が悪用するNTLM認証の使用を止めることが重要です。
その上で、Kerberosなど、より安全な認証方法に移行することが推奨されます。
Kerberosは、NTLMよりも強力な暗号化方式を使用しており、リレー攻撃を受けにくいためです。

認証方法の変更に加えて、ネットワークを分割し、重要なシステムを隔離することも有効な手段です。
ネットワークを分割することで、仮に攻撃者が一つの区画に侵入したとしても、他の区画へのアクセスを制限することができます。

さらに、ファイアウォールを適切に設定し、不正なアクセスを遮断することも重要です。
ファイアウォールは、ネットワークの境界に設置され、外部からの不正アクセスを防ぐ役割を担います。

これらの対策に加えて、一つのIDとパスワードだけでなく、複数の認証要素を組み合わせる多要素認証の導入も有効です。
多要素認証は、パスワードに加えて、スマートフォンアプリや専用端末などで生成されるワンタイムパスワードなどを要求することで、セキュリティを強化します。

最後に、システムやソフトウェアのアップデートは常に最新の状態に保つことが重要です。
古いシステムやソフトウェアには、攻撃者に悪用される可能性のある脆弱性が含まれている可能性があります。

これらの対策を総合的に実施することで、NTLMリレー攻撃のリスクを大幅に低減し、システムと情報の安全性を確保することができます。

対策 説明
NTLM認証の停止 NTLM認証の代わりに、Kerberosなど、より安全な認証方法に移行する。
ネットワークの分割 重要なシステムを隔離し、仮に攻撃者が一つの区画に侵入したとしても、他の区画へのアクセスを制限する。
ファイアウォールの設定 ネットワークの境界にファイアウォールを設置し、外部からの不正アクセスを防ぐ。
多要素認証の導入 パスワードに加えて、スマートフォンアプリや専用端末などで生成されるワンタイムパスワードなどを要求することで、セキュリティを強化する。
システムやソフトウェアのアップデート システムやソフトウェアを常に最新の状態に保ち、脆弱性を解消する。