パス・ザ・チケット攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. パス・ザ・チケット攻撃
             

パス・ザ・チケット攻撃

パス・ザ・チケット(Pass-the-Ticket)攻撃は、攻撃者がWindows環境の認証システムであるKerberosの認証チケットを盗み取り、それを利用して他のシステムに不正アクセスを行うサイバー攻撃の手法です。Kerberosは、認証チケット(TGT: Ticket Granting Ticket)と呼ばれる一時的なデータを使ってユーザー認証を行いますが、攻撃者はこのチケットを盗み、再利用することで不正アクセスを試みます。パス・ザ・チケット攻撃は、特に企業内ネットワークやWindowsドメイン環境において大きな脅威となっています。

この攻撃では、チケットが盗まれると、元のユーザーのパスワードを知らなくても、正規の認証が通過したかのように振る舞えるため、管理者権限の取得やネットワーク内のシステム全体に不正アクセスが可能になります。

パス・ザ・チケット攻撃の仕組み

パス・ザ・チケット攻撃は、WindowsのKerberos認証システムの仕組みを悪用しています。Kerberosでは、ユーザーがログインする際、KDC(Key Distribution Center)と呼ばれる認証サーバーからチケットが発行されます。このチケットには、認証を通過したことを証明するデータが含まれており、有効期限内であれば再ログインせずに使用できます。

  1. TGTの取得 攻撃者は、対象システムへの不正アクセスを通じて、ユーザーのTGT(Ticket Granting Ticket)を取得します。TGTはキャッシュに一時的に保存されており、マルウェアなどを用いて盗まれることがあります。
  2. TGTの再利用 取得したTGTを他のシステムへと再利用します。これにより、攻撃者は本来のユーザーと同等の権限で、別のシステムにアクセス可能になります。
  3. 権限のエスカレーション 攻撃者が管理者や特権ユーザーのTGTを取得した場合、ネットワーク全体へのアクセス権を手に入れることができ、データの盗難や不正操作、さらにはランサムウェアの拡散などが行われる可能性があります。

パス・ザ・チケット攻撃の影響

パス・ザ・チケット攻撃が成功すると、以下のような深刻な影響が発生する可能性があります。

  • ネットワーク内の横移動(ラテラルムーブメント)
    攻撃者は、認証チケットを利用してネットワーク内を移動し、複数のシステムやサーバーに不正アクセスを試みることができます。
  • 特権アカウントの乗っ取り
    管理者やドメイン管理者のチケットが盗まれると、攻撃者はそれを使ってドメイン全体にアクセスでき、企業の情報資産全体に危害を加えることが可能になります。
  • データの窃取や破壊
    攻撃者は不正に取得したアクセス権限を利用し、機密データや個人情報を盗み出したり、システムやデータを破壊したりする可能性があります。
  • バックドアの設置やランサムウェアの展開
    攻撃者が管理者権限でネットワークにアクセスできるため、バックドアを仕掛けて持続的な不正アクセスを維持したり、ランサムウェアを広範囲に展開したりする危険性があります。

パス・ザ・チケット攻撃の対策

パス・ザ・チケット攻撃を防ぐためには、次のような対策が効果的です。

1. 多要素認証(MFA)の導入

多要素認証(MFA)を導入することで、チケットだけでなく、追加の認証要素を求めるようにします。これにより、チケットが盗まれたとしても、攻撃者が追加の認証要素を持たない限り、システムへの不正アクセスが難しくなります。

2. チケットキャッシュの保護

システムのメモリ内にキャッシュされる認証チケットを保護するため、管理者や特権ユーザーの端末には厳重なアクセス制限を設けます。また、不要なTGTの削除や、ログアウト時にチケットをクリアする設定も有効です。

3. アカウント権限の見直し

不必要に高い権限を持つアカウントを減らし、特権アカウントへのアクセスを最小限に抑えます。特に、ドメイン管理者のアカウントは、日常業務には使用せず、必要なときのみアクセスできるようにすることが推奨されます。

4. ログの監視とアラート設定

Kerberos認証のログを監視し、異常なアクセスや不審なチケットの使用が検知された際にはアラートを発する設定を行います。異常なチケットの再利用が見られた場合、即座に対応できる体制を整えておきます。

5. Windowsのセキュリティ更新プログラムの適用

Windows OSの脆弱性を悪用した攻撃に対抗するため、最新のセキュリティパッチを適用し、Kerberosに関連する脆弱性を修正することが重要です。セキュリティパッチを定期的に適用することで、既知の脆弱性による攻撃リスクを低減できます。

6. Windows Defender Credential Guardの利用

Windows Defender Credential Guardは、Windowsのセキュリティ機能の一つで、チケットなどの認証情報を仮想化して保護する機能です。この機能を有効にすることで、認証チケットやパスワードがシステムのメモリ内に直接キャッシュされることを防ぎ、盗難リスクを軽減します。

7. セキュリティソフトによるマルウェアの検出

TGTを盗むためにマルウェアが利用されることが多いため、セキュリティソフトを使ってシステム内の不審なファイルやプロセスを検出・削除することも重要です。エンドポイントの保護を強化し、ウイルススキャンを定期的に行うことで、感染リスクを低減します。

まとめ

パス・ザ・チケット攻撃は、Kerberos認証システムの認証チケットを盗み取り、それを再利用して他のシステムへ不正にアクセスする攻撃手法です。この攻撃に成功すると、攻撃者は本来のユーザーの権限を持ってネットワーク内を自由に移動でき、特権アカウントの権限を利用して広範囲な不正行為が可能になります。

対策としては、多要素認証の導入やチケットキャッシュの保護、ログの監視、セキュリティ更新プログラムの適用が有効です。また、Windows Defender Credential Guardを有効にするなど、システム自体のセキュリティ機能を活用することで、チケットの不正利用や盗難リスクを抑えられます。企業や組織にとっては、Kerberosの認証システムを安全に運用するために、これらの対策を徹底することが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。