LSASS|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LSASS
             

LSASS

LSASS(Local Security Authority Subsystem Service)は、Windowsオペレーティングシステムで動作する重要なセキュリティプロセスで、認証やセキュリティポリシーの管理、ユーザーセッションのセキュリティを担っています。具体的には、ユーザーのログイン認証、パスワードの検証、セキュリティトークンの生成などを行います。

LSASSは、Windowsのセキュリティインフラの中心的な役割を果たしており、このサービスが停止した場合、システムは再起動を必要とするため、非常に重要なプロセスとされています。一方で、攻撃者にとってもターゲットとなりやすく、サイバー攻撃の観点からも注目されています。

LSASSの主な役割

1. ユーザー認証

LSASSは、ユーザーのログイン情報を処理し、認証の成否を決定します。具体的には、次のような役割があります。

  • ユーザー名とパスワードの検証
  • ドメインコントローラーと通信してActive Directoryの資格情報を確認

2. セキュリティトークンの生成

ログインに成功したユーザーに対してセキュリティトークンを生成します。このトークンにより、ユーザーのアクセス権限が決定され、システムリソースへのアクセスが管理されます。

3. セキュリティポリシーの適用

Windowsのグループポリシーやローカルセキュリティポリシーを適用し、システム全体のセキュリティを維持します。

4. パスワード変更の管理

LSASSは、ユーザーがパスワードを変更する際のプロセスも管理します。

LSASSが狙われる理由

LSASSは、セキュリティにおける重要な情報を扱うため、攻撃者にとって魅力的なターゲットです。特に、攻撃者はLSASSプロセスのメモリから認証情報(例:パスワードハッシュ、セッションキー)を抽出することを狙います。この情報を利用して、ネットワーク内での横展開(Lateral Movement)や、特権エスカレーション(Privilege Escalation)を行うことが可能です。

LSASSを利用した攻撃手法

1. パスワードハッシュの抽出

攻撃者は、Mimikatzなどのツールを使用して、LSASSプロセスのメモリからパスワードハッシュを取得します。このハッシュを用いて、「Pass-the-Hash攻撃」により他のシステムへの侵入を試みます。

2. プロセスのダンプ

攻撃者は、LSASSプロセスのメモリダンプを作成し、それを解析して認証情報を抽出します。この手法は、侵害後の調査でもよく使用されます。

3. パスワードの平文取得

LSASSからパスワードの平文を取得することも可能です。これにより、攻撃者はさらなるシステムへのアクセス権を容易に取得できます。

4. リモートアクセス攻撃

攻撃者は、リモートでLSASSにアクセスし、認証情報を抜き取ることでネットワーク内を横展開します。

LSASSに対する防御策

1. LSASSの保護を有効化

  • Windowsの「Credential Guard」機能を有効化することで、LSASSのメモリから認証情報を保護できます。
  • Windows 10以降では、「Protected Process Light(PPL)」がLSASSの保護を強化しています。

2. アクセス制限

  • LSASSへのアクセスを管理者アカウントに限定し、認証情報への不正アクセスを防ぎます。
  • サードパーティ製のアプリケーションがLSASSに直接アクセスするのを制限します。

3. セキュリティソフトウェアの導入

  • EDR(Endpoint Detection and Response)やアンチウイルスソフトを使用して、Mimikatzなどのツールによる攻撃を検出・防御します。

4. ネットワークセキュリティの強化

  • ネットワーク内の通信を暗号化し、攻撃者が認証情報を傍受できないようにします。
  • アクセスログを監視し、異常なアクティビティを検出します。

5. アカウントの管理

  • 強力なパスワードポリシーを適用し、簡単に推測されるパスワードの使用を避けます。
  • 定期的にパスワードを変更するよう推奨します。

6. 最小権限の原則

  • 必要最小限の権限のみをユーザーやサービスアカウントに付与することで、攻撃による被害を軽減します。

LSASSが関連するセキュリティインシデント

1. Pass-the-Hash攻撃

攻撃者がLSASSからハッシュを抽出し、これを使用して他のシステムへのアクセスを試みる攻撃です。ネットワーク全体に影響を及ぼす可能性があります。

2. ランサムウェア攻撃

多くのランサムウェア攻撃では、侵入後にLSASSを狙い、ネットワーク全体の資格情報を取得して横展開を行います。

3. APT(高度な持続的脅威)攻撃

APTグループは、特権昇格やネットワーク探索の一環として、LSASSを標的にすることがあります。

まとめ

LSASS(Local Security Authority Subsystem Service)は、Windowsのセキュリティにおいて極めて重要な役割を果たす一方で、攻撃者からも狙われやすいプロセスです。このため、適切な防御策を講じることが不可欠です。システムのセキュリティ設定を強化し、ログの監視やアクセス制御を徹底することで、LSASSを悪用した攻撃に対する防御力を向上させることができます。攻撃の手法と防御策を理解し、継続的にセキュリティ対策を更新することが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。