OSクレデンシャルダンピング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. OSクレデンシャルダンピング
             

OSクレデンシャルダンピング

OSクレデンシャルダンピングは、攻撃者がオペレーティングシステム(OS)内に保存されている認証情報(クレデンシャル)を不正に取得する攻撃手法を指します。この手法は、特にWindowsやLinuxといった一般的なOSで利用され、取得されたクレデンシャルはさらなる攻撃(例:横方向移動や特権昇格)に使用されます。

クレデンシャルダンピングでは、以下のような情報が対象となります:

  • ユーザー名とパスワード
  • NTLMハッシュ
  • Kerberosチケット
  • アクセストークン

この攻撃は、侵入後の行動(Post-exploitation)の一環として実施され、攻撃者がネットワーク内で横方向移動するための強力な手段となります。

OSクレデンシャルダンピングの一般的な手法

1. メモリダンピング

  • OSのメモリにロードされている認証情報を取得します。
  • ツール例:
    • Mimikatz(Windows)
    • gsecdump(Windows)

2. LSASSプロセスのダンピング

  • Windowsの「LSASS(Local Security Authority Subsystem Service)」プロセスから、認証情報やハッシュを抽出します。
  • 手法例:
    • Windows APIを使用してメモリをダンプ。
    • 「Task Manager」や「Procdump」ツールを使用。

3. レジストリのダンピング

  • Windowsのレジストリから認証情報を取得します。
  • 例:
    • SAM(Security Account Manager)データベースからNTLMハッシュを抽出。
    • コマンド例:reg save hklm\sam sam.dump

4. Kerberosチケットの抽出

  • Windows環境で使用されるKerberos認証のチケットを取得し、不正アクセスに利用します。
  • ツール例:
    • Mimikatzの「Pass-the-Ticket」機能。

5. クラウドクレデンシャルの抽出

  • クラウド環境(例:AWS、Azure、Google Cloud)で、構成ファイルやセッションキーを不正取得。

OSクレデンシャルダンピングの影響

  1. 横方向移動(Lateral Movement)
    • 取得した認証情報を使用して、ネットワーク内の他のシステムやサーバーにアクセス。
  2. 特権昇格(Privilege Escalation)
    • 標的のシステム内でより高い権限を持つアカウントを使用して、システム全体の制御を取得。
  3. データ漏洩
    • 重要なファイルやデータベースへの不正アクセスを実行。
  4. ネットワーク全体の危険性
    • 攻撃者がネットワーク全体に影響を及ぼし、バックドアの設置やランサムウェアの展開が可能。

OSクレデンシャルダンピングの防御方法

1. 特権アカウントの管理

  • 必要最小限の特権を付与し、管理者アカウントの使用を制限。
  • 特権アカウントのセッションを監視。

2. セキュリティツールの導入

  • エンドポイント検出と応答(EDR)ツールを使用して、異常なメモリアクセスやプロセス操作を検出。

3. LSASSプロセスの保護

  • Windowsでは、lsass.exeプロセスのダンピングを防ぐために「Credential Guard」を有効化。

4. 多要素認証(MFA)の導入

  • 認証情報が漏洩しても、追加の認証要素によって不正アクセスを防止。

5. セキュリティポリシーの強化

  • レジストリやシステムファイルへのアクセス権を厳密に管理。
  • ネットワークセグメントを分離して、アクセスを最小限に制限。

6. ログと監視

  • 認証情報の異常な使用を監視するために、ログを収集・分析。
  • Windows Event LogでLSASSアクセスやレジストリ変更を検出。

クレデンシャルダンピングに関連するツール

  1. Mimikatz
    • Windows環境での認証情報収集に特化したツール。
    • NTLMハッシュ、Kerberosチケットなどを取得。
  2. Procdump
    • LSASSプロセスをダンプし、認証情報を抽出。
  3. pwdump
    • SAMデータベースからパスワードハッシュを抽出。
  4. LaZagne
    • アプリケーションやブラウザに保存された認証情報を取得。

クレデンシャルダンピングの検出方法

  1. 異常なプロセス動作の監視
    • LSASSプロセスへの不審なアクセスやメモリダンプ操作を検出。
  2. ネットワークトラフィックの解析
    • 横方向移動に使用されるSMBトラフィックやリモートデスクトップ(RDP)の異常を監視。
  3. ログ分析
    • Windowsイベントログ(例:Event ID 4624や4672)で、特権昇格や認証失敗を特定。

まとめ

OSクレデンシャルダンピングは、攻撃者が認証情報を収集してネットワーク内でさらなる攻撃を行うための重要な手法です。この攻撃を防ぐためには、セキュリティ設定の強化、多要素認証の導入、監視ツールの活用が必要です。適切な対策を講じることで、クレデンシャルダンピングによる被害を最小限に抑えることが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。