Kerberoasting攻撃:見えない脅威の正体
- Kerberoasting攻撃とはKerberoasting攻撃は、多くの企業ネットワークで使われているアカウント管理システムであるWindows Active Directoryの認証システムの脆弱性を突いたサイバー攻撃です。Active Directoryでは、ユーザーの認証にKerberos認証プロトコルが使われています。
Kerberos認証では、ユーザーがサーバーへアクセスする際、サーバーはユーザーに対して暗号化されたチケットを発行します。このチケットは、ユーザーのパスワードをハッシュ化した鍵を使って暗号化されており、正当なユーザーのみが解読できる仕組みになっています。
Kerberoasting攻撃では、攻撃者はこのチケットの暗号化に目を付けます。攻撃者はまず、Active Directoryに対して、特定のサービスに対するチケットの発行を要求します。この際、攻撃者は有効なユーザーアカウントを必要とせず、サービスアカウントと呼ばれるアカウントを指定します。
サービスアカウントは、特定のサービスやアプリケーションに割り当てられたアカウントであり、パスワードは通常、複雑で長いものが設定されています。しかし、Kerberoasting攻撃では、攻撃者はこのチケットを盗み出した後、オフラインで時間をかけてパスワードの解析を試みます。
オフラインでの解析は、オンラインでの攻撃と異なり、パスワード推測の試行回数に制限がないため、攻撃者はより多くの組み合わせを試すことができます。もし、攻撃者がチケットの解読に成功した場合、そのサービスアカウントのパスワードが盗まれ、攻撃者はそのアカウントになりすましてネットワークへ侵入したり、機密情報へアクセスしたりすることが可能になります。
Kerberoasting攻撃は、攻撃が成功するまでネットワークへの侵入の形跡が残りにくいという特徴があります。そのため、企業はKerberoasting攻撃への対策を講じ、重要な情報を守る必要があります。