Mimikatz|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. Mimikatz
             

Mimikatz

Mimikatz(ミミカッツ)は、サイバーセキュリティの分野で知られるオープンソースのツールであり、Windowsシステム上の認証情報を抽出するために使用されます。元々はセキュリティ研究目的で開発されましたが、その強力な機能から、攻撃者による不正アクセスや権限昇格のためのツールとしても悪用されています。

Mimikatzは、Windowsシステムのセキュリティ構成を評価し、潜在的な脆弱性を発見するための合法的なペネトレーションテストツールとして利用できます。ただし、攻撃者がシステム侵入後の情報収集や侵害拡大に使用するケースも多いため、セキュリティ担当者にとっては注意が必要なツールです。

Mimikatzの主な機能

1. 資格情報の抽出

Mimikatzは、Windowsのメモリや認証関連ファイルから以下のような認証情報を取得できます:

  • 平文のパスワード(特定条件下)
  • NTLMハッシュ
  • Kerberosチケット(TGT、TGS)
  • システムのセキュリティトークン

2. パス・ザ・ハッシュ(Pass-the-Hash)攻撃

取得したNTLMハッシュを使用して、実際のパスワードを知らなくてもシステムに認証することが可能です。

3. パス・ザ・チケット(Pass-the-Ticket)攻撃

取得したKerberosチケットを用いて、ネットワーク内のリソースに不正アクセスできます。

4. ゴールデンチケット攻撃

ドメインコントローラーの認証情報を使用して有効期限が実質無制限のKerberosチケットを作成し、ドメイン全体にアクセス可能にします。

5. セキュリティトークンの偽造

セキュリティトークンを改変することで、より高い権限を取得できます。

6. セキュリティ設定の操作

Windowsセキュリティポリシーやセキュリティモジュール(LSASS)の挙動を操作します。

Mimikatzの仕組み

Mimikatzは、Windowsの認証情報管理に関する仕組みを利用しています。以下がその主なプロセスです:

  1. LSASSプロセスの操作 Mimikatzは、Windowsのローカルセキュリティ認証サブシステム(LSASS)からメモリをダンプし、その中に保存されている認証情報を解析します。
  2. セキュリティポリシーの無効化 特権昇格や認証情報の抽出を可能にするため、Windowsのセキュリティ設定を変更します。
  3. 暗号化キーの利用 Windowsが暗号化した認証情報を復号し、平文パスワードやハッシュとして取得します。

主なコマンド例

Mimikatzはコマンドラインインターフェースを使用して操作します。以下は主なコマンドの例です:

  1. 平文パスワードの取得
privilege::debug
sekurlsa::logonpasswords
  1. NTLMハッシュの抽出
sekurlsa::logonpasswords
  1. Kerberosチケットのダンプ
kerberos::list /export
  1. ゴールデンチケットの作成
kerberos::golden /domain:[ドメイン名] /sid:[SID] /krbtgt:[krbtgtハッシュ] /user:[ユーザー名]

Mimikatzの利用用途

1. セキュリティ評価

ペネトレーションテストや脆弱性評価の一環として、Windows環境のセキュリティ強度を確認するために使用されます。

2. インシデント対応

攻撃者がMimikatzを使用して侵害を拡大している場合、調査や封じ込めのための知識として役立ちます。

3. 教育目的

セキュリティ教育やトレーニングで、実際の攻撃手法を理解するために利用されます。

Mimikatzがもたらす脅威

  1. 認証情報の漏洩 攻撃者がMimikatzを使用すると、ユーザーや管理者の認証情報が盗まれる可能性があります。
  2. 権限昇格 攻撃者がシステム管理者の権限を取得し、ネットワーク全体に侵害を拡大できます。
  3. 持続的な侵害 ゴールデンチケット攻撃により、ドメイン全体の永続的なアクセス権が得られる可能性があります。
  4. 検知回避 MimikatzはLSASSを操作するため、適切に保護されていない環境では検知が難しくなります。

Mimikatzへの対策

1. LSASSプロセスの保護

  • Credential Guardの有効化(Windows 10 Enterprise以降)。
  • LSASSプロセスへのアクセスを制限。

2. パスワード管理

  • 長く、複雑なパスワードを使用。
  • パスワードのリセットを定期的に行い、同じパスワードを複数システムで使い回さない。

3. ログ監視

  • LSASSプロセスへの異常なアクセスを検知。
  • 特権昇格や認証失敗のログを定期的に確認。

4. 多要素認証(MFA)の導入

MFAを導入することで、盗まれたパスワードやハッシュのみではシステムにアクセスできなくなります。

5. 最新のセキュリティパッチ適用

Windowsのセキュリティアップデートを最新の状態に保つことで、Mimikatzが利用する脆弱性を防ぐことができます。

6. 最小権限の原則

ユーザーに必要最小限の権限を付与し、管理者権限の乱用を防ぐ。

まとめ

Mimikatzは、セキュリティ評価において非常に有用なツールである一方で、攻撃者に悪用されるリスクも高いツールです。その強力な機能を理解することで、Windows環境のセキュリティ対策を強化するための有益な知見が得られます。

企業や組織は、Mimikatzのようなツールを想定したセキュリティ対策を講じることで、認証情報の漏洩や権限昇格を防ぎ、ネットワーク全体の安全性を向上させることが重要です。正しく使用し、適切な防御策を導入することで、Mimikatzがもたらす脅威を最小限に抑えることができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。