無料会員登録NTLMリレー攻撃は、マイクロソフトの認証プロトコルである**NTLM(NT LAN Manager)**を悪用して行われる中間者攻撃(MITM: Man-In-The-Middle Attack)の一種です。この攻撃では、攻撃者がユーザーの認証トークンを傍受し、それを別のシステムやサービスに転送(リレー)することで、不正アクセスやシステム権限の取得を試みます。
NTLM認証は、Windowsネットワーク環境で広く使用されており、特に古いシステムやレガシー環境では今も多く利用されています。その設計上の問題を突くことで、攻撃が成立します。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
攻撃の仕組み
NTLMリレー攻撃の主な流れは以下の通りです。
1. 中間者の配置
攻撃者が、被害者(クライアント)と認証サーバーの間に中間者として介入します。これには、ARPスプーフィングやDNSポイズニングなどの手法が使われます。
2. 認証トークンの傍受
被害者がNTLM認証を使用してログインしようとすると、攻撃者はその認証要求(チャレンジ/レスポンス)を傍受します。
3. トークンのリレー
攻撃者は傍受したトークンを使用して、別のターゲットサーバーやサービスに転送します。この際、攻撃者は自分の資格情報を使用せず、被害者の認証情報を利用します。
4. 不正アクセスの成立
リレー先のサーバーがその認証トークンを正当と見なし、攻撃者にアクセス権を付与します。これにより、攻撃者は被害者になりすましてシステムに侵入します。
主なターゲット
NTLMリレー攻撃は、特に以下のような環境やシステムを標的にします。
- Windowsネットワーク環境
- NTLM認証を使用しているWindowsサーバーや共有リソース。
- SMB(Server Message Block)
- ファイル共有やプリンターサービスなど、SMBプロトコルを使用するシステム。
- LDAP(Lightweight Directory Access Protocol)
- Active Directoryのクエリ処理を行うLDAPサービス。
攻撃の影響
不正アクセス
被害者の認証トークンを利用して、サーバーやサービスに不正アクセスを試みます。これにより、機密データの漏洩や権限の濫用が発生します。
システム乗っ取り
攻撃者が管理者権限を取得した場合、システム全体を制御する可能性があります。
サービス妨害
リソースへの不正アクセスを通じて、業務に影響を与える可能性があります。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
防御策
NTLMリレー攻撃を防ぐためには、以下の対策を講じる必要があります。
1. NTLM認証の使用制限
NTLM認証の使用を可能な限り制限し、Kerberosなどのより安全な認証プロトコルを使用します。
2. 署名の有効化
- SMBやLDAPのトラフィックに署名(Signing)を有効化することで、認証トークンの改ざんを防止します。
- SMB署名の有効化
Set-SmbServerConfiguration -RequireSecuritySignature $true - LDAP署名の有効化 Active Directoryのグループポリシーで「LDAP署名要件」を有効にします。
- SMB署名の有効化
3. 認証プロセスの強化
- NTLMv2のみを許可し、古いバージョンのNTLM(NTLMv1)を無効化します。
4. プロトコルの暗号化
通信をTLSやIPsecで暗号化し、認証情報が平文で傍受されないようにします。
5. Privileged Access Management(PAM)
- 特権アカウントの管理を徹底し、認証情報の濫用を防ぎます。
6. ネットワーク監視
- 異常なトラフィックや認証要求を検出するため、IDS/IPS(侵入検知・防止システム)を導入します。
攻撃の検知方法
- ログ監視 Windowsイベントログ(特にセキュリティログ)を監視し、異常な認証試行や権限昇格を検出します。
- ネットワーク解析 WiresharkやNetmonを使用して、NTLM認証のパケットやリレーの兆候を調査します。
- ハニーポットの利用 ハニーポットを設置し、攻撃者の行動を分析します。
まとめ
NTLMリレー攻撃は、NTLM認証の設計上の弱点を突いた攻撃で、特にWindows環境では重大なセキュリティリスクとなります。システム管理者は、NTLMの使用制限やプロトコルの署名、有効な監視体制を確立することで、これらの攻撃を効果的に防ぐことができます。
また、NTLM認証を使用する必要がある場合でも、適切な設定と最新のセキュリティパッチを適用することで、リスクを最小限に抑えることが重要です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
Active Directory アクティブディレクトリとは?機能やメリットデメリットを徹底解説
SASEとは?概念や仕組み・メリットを解説
ID管理システム10選を比較!重要性や目的別選び方
無線LANの3大リスクと簡単にできる2つのセキュリティ対策
マイターアタック(MITRE ATT&CK)とは?サイバー攻撃の戦術や技術を網羅したフレームワーク
セキュリティサービスエッジ(SEE)とは?SASEとの違いやメリットを解説
EntraIDとは?セキュリティと認証管理の基礎解説
AWSセキュリティとは?取得のメリットや難易度
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
