無料会員登録PetitePotamは、WindowsのNTLMリレー攻撃を利用するためのツールおよび脆弱性の名称です。この攻撃手法は、Active Directory Certificate Services(AD CS)を実装しているWindowsサーバーに影響を及ぼし、攻撃者がドメインコントローラー(DC)の認証情報を取得する可能性があります。この脆弱性は、**WindowsのMS-EFSRPC(Encrypting File System Remote Protocol)**を悪用し、攻撃対象に認証情報を送信させることで攻撃を成立させます。
PetitePotamは、侵入テストやセキュリティ研究で使用されることを目的としていますが、その強力な機能から悪意のある攻撃にも利用されるリスクがあります。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
PetitePotamの主な仕組み
- EFSRPCを利用した認証情報の強制送信
- MS-EFSRPCは、Windowsがリモートで暗号化ファイルシステム(EFS)を管理するためのプロトコルです。
- PetitePotamは、このプロトコルを悪用してターゲットに認証情報を強制的に送信させます。
- NTLMリレー攻撃との連携
- 攻撃者は、ターゲットの認証情報を中間者攻撃(MITM)としてリレーし、他のリソース(例:ドメインコントローラー)へのアクセスを試みます。
- これにより、認証情報を用いてシステムの完全な制御を獲得する可能性があります。
- ドメインコントローラーの支配
- NTLMリレー攻撃が成功すると、攻撃者はドメインコントローラーの特権を取得でき、Active Directory環境全体を危険にさらします。
PetitePotamの影響
1. ドメインセキュリティの脆弱化
- ドメインコントローラーが制御されると、ネットワーク内の他のリソース(ユーザーアカウント、ファイル共有、メールなど)も危険にさらされます。
2. 認証情報の漏洩
- PetitePotam攻撃は、ターゲットのNTLMハッシュを入手するため、認証情報が漏洩するリスクを高めます。
3. ランサムウェア攻撃の拡大
- PetitePotamを活用した初期アクセス後に、ランサムウェアを展開する攻撃者も報告されています。
PetitePotamの対策
1. NTLMリレー攻撃の防止
- **Extended Protection for Authentication(EPA)**を有効化して、認証情報のリレーを防ぎます。
- NTLMを使用するサービスやプロトコルを可能な限り無効化します。
2. Active Directory Certificate Services(AD CS)の保護
- AD CSのWebテンプレートがNTLM認証に依存していないことを確認します。
- LDAP署名やチャンネルバインディングを有効化して、認証セキュリティを強化します。
3. ネットワークの監視
- NTLMリレー攻撃や不正な認証要求を検出するために、ネットワークトラフィックを監視します。
4. 最新のパッチ適用
- Microsoftが提供するセキュリティ更新プログラムを適用し、関連する脆弱性を修正します。
5. セグメント化と制限
- ドメインコントローラーやAD CSサーバーに直接アクセスできるネットワークを制限します。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
PetitePotamの利用例
- 侵入テスト
- セキュリティ専門家が、企業内のセキュリティ体制を評価するためにPetitePotamを使用する場合があります。
- サイバー攻撃
- 攻撃者がドメインコントローラーや他のリソースに不正アクセスするための初期手法として利用するケースが報告されています。
- 教育目的
- セキュリティ教育やトレーニングで、NTLMリレー攻撃の理解を深めるために使用されます。
まとめ
PetitePotamは、Windowsのプロトコルを悪用した高度なNTLMリレー攻撃を可能にするツールです。この攻撃が成功すると、ドメインコントローラーやActive Directory環境全体が危険にさらされるため、企業や組織にとって重大な脅威となります。対策として、NTLMの利用を最小限に抑え、最新のセキュリティパッチを適用するとともに、ネットワークトラフィックの監視やアクセス制限を実施することが重要です。PetitePotamの脅威を理解し、適切な防御策を講じることで、組織のセキュリティ体制を強化できます。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
Active Directory アクティブディレクトリとは?機能やメリットデメリットを徹底解説
ID管理システム10選を比較!重要性や目的別選び方
トラフィック監視とは?分かりやすく監視方法を解説!フリーソフトまで紹介
WPA3とは?特徴やメリット、注意点について徹底解説
ケルベロス認証とは?仕組みやメリット、シングルサインオン方式について徹底解説
パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説
DMARCとは? 仕組みや導入メリット・デメリットを解説
セキュアバイデザインの考え方:初期設計から始める安全なシステム構築
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
