パス・ザ・ハッシュ攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. パス・ザ・ハッシュ攻撃
             

パス・ザ・ハッシュ攻撃

パス・ザ・ハッシュ(Pass-the-Hash)攻撃は、Windowsシステムの認証に使用されるハッシュ化されたパスワードを盗み、それを使ってシステムに不正アクセスするサイバー攻撃の手法です。この攻撃では、攻撃者はパスワードのハッシュ値(暗号化された形)を直接利用して、パスワードを知らなくても認証を突破します。パスワードそのものが不要であるため、リバースエンジニアリングによるパスワード解読の手間を省き、盗まれたハッシュ値でネットワーク内を自由に移動できることが特長です。

特に、Windows環境において管理者権限で侵入することで、システム内の他の認証情報や重要なデータへアクセス可能になるため、企業や組織にとって重大な脅威となっています。

パス・ザ・ハッシュ攻撃の仕組み

Windows OSでは、ユーザー認証の際、平文のパスワードを直接保管せず、ハッシュ化された形で保管します。認証の際には、ユーザーが入力したパスワードをハッシュ化し、保管されているハッシュ値と比較することで認証を行います。

  1. ハッシュ値の取得 攻撃者は、システムに不正アクセスした後、ユーザーのパスワードハッシュをメモリやレジストリなどから取得します。通常、WindowsのメモリやSAM(Security Account Manager)ファイル、LSASS(Local Security Authority Subsystem Service)プロセスからハッシュ値を盗み出すため、特に管理者権限があるとアクセスしやすくなります。
  2. ハッシュの再利用 取得したハッシュ値を利用して、ネットワーク内の別のシステムに対して、再認証を試みます。Windowsの認証では、ハッシュ値をパスワードの代わりに利用することで、認証に成功し、対象のシステムへ不正アクセスが可能です。
  3. ネットワーク内の横移動(ラテラルムーブメント) 攻撃者は、同一ネットワーク内の複数のシステムにハッシュを利用して次々に侵入し、重要データの窃取やシステムの破壊などを行います。また、管理者権限のハッシュを利用すると、ドメインコントローラーやファイルサーバーなどへの不正アクセスも可能になります。

パス・ザ・ハッシュ攻撃のリスクと影響

パス・ザ・ハッシュ攻撃が成功すると、以下のようなリスクや影響が生じます。

  1. システム全体の支配
    攻撃者が管理者アカウントのハッシュを取得した場合、ネットワーク全体のシステムに侵入し、ファイルや設定を操作できます。これにより、企業や組織全体のシステムを乗っ取ることが可能です。
  2. データの窃取と漏洩
    攻撃者は、ハッシュを利用してアクセスしたシステム内の機密情報、顧客データ、知的財産などを窃取し、組織の損失やブランドイメージの低下を引き起こす可能性があります。
  3. ランサムウェアやマルウェアの展開
    管理者権限で不正に侵入することで、ネットワーク全体にランサムウェアやマルウェアを仕掛けることが可能になります。特に組織内の複数システムに感染が広がることで、業務の停止や被害の拡大が懸念されます。
  4. 持続的な不正アクセス
    攻撃者は、ハッシュを利用してバックドアを設置し、再びアクセスを確保するなど、持続的な攻撃を行うことができ、APT(Advanced Persistent Threat:高度な持続的脅威)攻撃として組織に長期的な損害を与える可能性もあります。

パス・ザ・ハッシュ攻撃への対策

パス・ザ・ハッシュ攻撃の防止には、以下のような対策が効果的です。

1. 多要素認証(MFA)の導入

多要素認証(MFA)を導入することで、ハッシュ値の再利用を防ぐことができます。追加の認証要素(例:指紋認証やワンタイムパスコード)が必要となるため、ハッシュ値のみで不正アクセスができなくなります。

2. 特権アカウントの管理と最小権限の原則

管理者権限を持つアカウントを最小限にし、一般ユーザーには必要最低限の権限のみを付与する「最小権限の原則」を実践します。これにより、攻撃者が侵入しても、ハッシュの取得や横移動が制限されます。

3. Windows Defender Credential Guardの有効化

Windows Defender Credential Guardを有効にすると、LSASSプロセスから認証データが直接取得されるのを防ぎ、ハッシュの盗難リスクを軽減できます。Credential Guardは、認証情報を仮想化して保護するため、ハッシュ値の不正取得を難しくします。

4. 定期的なパスワード変更

ドメイン管理者や重要アカウントのパスワードを定期的に変更することで、ハッシュの有効性を短期間に抑え、盗まれたハッシュが再利用されるリスクを減らします。

5. アカウントロックとログ監視の設定

不審なアクセスやログイン試行が検出された場合にアラートを発するよう、ログ監視やアカウントロックの設定を行います。特に、特権アカウントへのアクセスを綿密に監視し、異常な動きがある場合には即座に対応できるようにします。

6. セキュリティパッチの適用

Windows OSや関連サービスのセキュリティパッチを定期的に適用し、既知の脆弱性を修正することで、攻撃の隙を最小限に抑えます。特に、LSASSやSAMファイルに関連する脆弱性が報告された場合、速やかにアップデートを実施します。

7. ネットワークセグメントの分離

組織のネットワークを適切に分離することで、万が一パス・ザ・ハッシュ攻撃が行われても被害が広がらないようにします。重要なサーバーやシステムにアクセスするためには、別のネットワーク経由とし、アクセス権限を厳しく管理します。

まとめ

パス・ザ・ハッシュ(Pass-the-Hash)攻撃は、ハッシュ値を使って不正アクセスを行う攻撃手法で、Windows環境の認証情報の管理におけるセキュリティリスクを悪用しています。攻撃者が管理者権限を取得した場合、ネットワーク内の他のシステムにも自由にアクセスできるため、被害の拡大や機密情報の漏洩、システムの乗っ取りといった深刻な影響が生じます。

防御策としては、多要素認証の導入、特権アカウント管理、Credential Guardの利用、ネットワークのセグメント化などが有効です。パス・ザ・ハッシュ攻撃は、企業や組織のネットワーク全体に大きな被害を及ぼす可能性があるため、適切なセキュリティ対策を徹底することが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。