ゴールデンチケット|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ゴールデンチケット
             

ゴールデンチケット

ゴールデンチケット(Golden Ticket)とは、攻撃者がWindowsの認証基盤であるActive Directory(AD)に対して行う高度なサイバー攻撃の手法の一つです。ゴールデンチケットを使うことで、攻撃者はKerberos認証を悪用し、組織内のすべてのシステムやリソースに対し、管理者権限で無制限にアクセスできるようになります。

この手法は、特に 「KRBTGT」と呼ばれるActive Directory内のKerberosサービスアカウントのパスワードハッシュを取得することで可能になります。KRBTGTアカウントは、Kerberosの認証チケットを生成するためのアカウントであり、そのハッシュを用いることで攻撃者は任意のユーザーに成りすまし、「ゴールデンチケット」として知られる偽のTGT(Ticket Granting Ticket) を作成できます。この攻撃手法は2014年にセキュリティ企業Mandiantが発表し、以降、特に高度で長期間の侵入において脅威とされています。

ゴールデンチケット攻撃の仕組み

ゴールデンチケット攻撃が成立するまでには、以下のようなステップが必要です。

  1. 特権アカウントの権限取得
    攻撃者はまず、標的となるActive Directory環境内で管理者権限(通常はドメイン管理者)を持つアカウントにアクセスします。この段階で管理者アカウントのパスワードハッシュが取得できれば、KRBTGTアカウントのハッシュにもアクセスが可能になります。
  2. KRBTGTアカウントのパスワードハッシュの取得
    攻撃者は、Active Directory内で特権を利用して「KRBTGT」アカウントのパスワードハッシュを盗み出します。このハッシュを用いることで、Kerberos認証システム内で任意のTGT(チケット発行用のトークン)を作成できるようになります。
  3. 偽のTGT(ゴールデンチケット)の作成
    攻撃者は、取得したKRBTGTアカウントのハッシュを使って、任意のユーザーとして振る舞うTGTを生成します。この偽のTGTが「ゴールデンチケット」と呼ばれ、生成されたチケットは、システム内のどのリソースに対しても有効です。
  4. 無制限のアクセス権限の取得
    ゴールデンチケットを使用することで、攻撃者はActive Directory内の任意のアカウントに成りすまし、権限のないリソースや情報にアクセスできます。このTGTは通常の認証チェックをパスするため、正当なユーザーのアクセスとして記録され、検出が困難です。
  5. 永続的なアクセスの確保
    KRBTGTアカウントのパスワードが変更されない限り、攻撃者は新しいTGTを生成し続けることが可能です。そのため、ゴールデンチケットを利用した攻撃は、長期的に持続されることが多いです。

ゴールデンチケット攻撃のリスクと影響

ゴールデンチケット攻撃が成功すると、以下のような深刻なリスクや影響が発生する可能性があります。

  1. 全社的なリソースへの無制限アクセス
    攻撃者はActive Directory内の全システムやデータベースにアクセスできるため、組織の機密情報が漏洩するリスクが高まります。
  2. 持続的な侵入
    KRBTGTアカウントのパスワードが変更されない限り、攻撃者は再びチケットを作成して侵入を続けられます。これにより、攻撃者の活動が長期間発覚しないことが多く、深刻な影響を及ぼします。
  3. 偽装した正当なアクセス
    ゴールデンチケットを用いたアクセスは通常のアクセスログとして記録されるため、不正アクセスとしての検知が非常に難しく、セキュリティ監視をすり抜けることが可能です。
  4. 二要素認証やパスワード変更の無効化
    Kerberos認証システム内でゴールデンチケットが使われるため、通常のパスワード変更や二要素認証が効果を発揮せず、管理者権限を利用していとも簡単に認証を回避されます。

ゴールデンチケット攻撃に対する対策

ゴールデンチケット攻撃は高度であるため、対策には複数のセキュリティ手法を組み合わせることが重要です。

  1. KRBTGTアカウントのパスワードを定期的に更新
    KRBTGTアカウントのパスワードを更新することで、既存のゴールデンチケットを無効化できます。一般的に、6か月ごとにKRBTGTアカウントのパスワードを変更することが推奨されています。
  2. 特権アカウントのアクセス制御
    ドメイン管理者やKRBTGTアカウントへのアクセスは最低限にとどめ、特権アカウントの監視と制御を徹底します。特権アカウントには多要素認証(MFA)を導入し、不正アクセスを防止します。
  3. 監査ログの定期的な監視と分析
    Kerberos認証のログを定期的に確認し、異常なチケット発行や不正アクセスがないか監視します。特に、通常の利用では見られないユーザーアカウントや権限の操作は警戒が必要です。
  4. パスワードの強化とセキュリティポリシーの厳格化
    すべてのアカウントで強力なパスワードを設定し、セキュリティポリシーを厳格に管理することが重要です。また、パスワードの定期変更を促すことで、古いハッシュが悪用されるリスクを軽減できます。
  5. 「最小権限の原則」の徹底
    特権アカウントを含むすべてのアカウントにおいて、必要最低限の権限のみを付与します。これにより、攻撃者が特権アカウントを悪用するリスクを減少させることができます。

まとめ

ゴールデンチケットは、KRBTGTアカウントのパスワードハッシュを取得することで、Active Directory全体の管理者権限を奪う危険な攻撃手法です。この攻撃に成功した攻撃者は、組織内のすべてのリソースにアクセスできるため、情報漏洩やシステム改ざんなどの重大な被害を引き起こす可能性があります。ゴールデンチケット攻撃に対抗するためには、KRBTGTアカウントのパスワード更新や特権アカウントの管理強化、監視体制の構築など、複数のセキュリティ対策が必要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。