目次
サイバーセキュリティの脅威は進化し続けており、Kerberoasting攻撃は企業ネットワークにとって大きな懸念となっています。これらの攻撃は過去一年間で583%増加し、Windowsベースの認証システムに依存する組織にとって大きなリスクを提示しています。
「Kerberoasting」という言葉は、「Kerberos」(ギリシャ神話の三頭の番犬にちなんで名付けられた認証プロトコル)と「roasting」(ネットワークセキュリティを侵害するその攻撃的な性質を反映)を組み合わせたものです。この攻撃方法は2014年頃に初めて特定され、組織がクラウド インフラストラクチャに移行しつつ、レガシーシステムを維持する中で再び注目を集めています。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
Kerberoasting攻撃とは?
Kerberoasting(ケルベロースティング)攻撃とは、Active Directory環境を標的とした高度な攻撃手法です。この攻撃は、システムへの侵入が成功した後の段階で、Kerberos認証プロトコルに存在する脆弱性を悪用し、サービスアカウントを乗っ取ろうとします。このIDベースの攻撃は、脅威アクターがSPN(サービスプリンシパル名)を関連付けたActive Directoryアカウントのパスワードハッシュを取得して、その後、オフラインでクラックしてプレーンテキストの認証情報を明らかにします。
Kerberoasting攻撃が特に厄介なのは、認可の有無にかかわらず、ドメイン認証された任意のユーザーがネットワーク上のあらゆるサービスに対してKerberosサービスチケットを要求できる点です。正規の認証フロー内で実行されるため、従来のセキュリティ対策では検知が困難であり、そのステルス性と有効性が脅威となります。
攻撃者がサービスチケットを取得すると、ブルートフォース手法を使用してオフラインでパスワードハッシュをクラックすることができ、検出アラート、ログ記録、アカウントのロックアウトを回避します。このオフライン機能と攻撃チェーンにマルウェアの存在しないことが組み合わさり、多くの従来の防御技術がこれらの攻撃を識別し、停止することができない状況を生み出します。
Kerberos認証プロトコル
Kerberoasting攻撃の主な対象であるKerberosは、MITが開発した堅牢なネットワーク認証プロトコルで、現代のWindows環境や数多くの他のプラットフォームでデフォルトの認証技術として利用されています。このプロトコルは、秘密鍵暗号化とKDC(キー配布センター)と呼ばれる第三者システムを利用して、ユーザーの身元を安全に確認し、クライアント サーバー アプリケーションを認証します。
Kerberosは、パスワードをネットワーク上で送信するのではなく、暗号化されたプライベートキーと時間制限のある秘密鍵暗号化を利用して安全な通信を確立します。認証プロセスはチケットベースで構成されており、KDCはデータベース、AS(認証サーバー)、TGS(チケット配布サーバー)という3つの重要なコンポーネントを管理しています。ユーザーがネットワークリソースにアクセスしようとすると、システムは実際の資格情報をネットワーク上で送信することなく、その身元を確認する暗号化されたチケットを発行します。
このアプローチにより、クライアントとサーバーの双方が相手の身元を確認する相互認証が確保され、なりすましの試みや中間者攻撃を効果的に防ぎます。また、シングルサインオン(SSO)機能やプラットフォーム非依存の特性により、大規模なエンタープライズ ネットワークにおいて特に有用とされてきました。ただし、現代のクラウド環境においては、従来のKerberos実装にとって新たな課題が生じつつあります。
Kerberoasting攻撃の仕組み
Kerberoasting攻撃は、初期のネットワークアクセスから始まり、パスワードの抽出に至るまで、いくつかの明確なフェーズに分けられます。攻撃は、脅威のアクターがネットワーク内の任意の認証済みドメイン ユーザー アカウントにアクセスするところから始まります。このアクセスを足がかりとして、攻撃者はSPNを持つサービスアカウントを特定し、これらを主要な標的として悪用を試みます。
攻撃の手順:
- 初期アクセス:任意のドメイン ユーザー アカウントの資格情報を取得
- 偵察:SPNを持つサービスアカウントを列挙
- TGSリクエスト:ドメインコントローラからサービスチケットをリクエスト
- チケット抽出:RubeusやMimikatzのようなツールを使用して暗号化されたTGSチケットをキャプチャ
- オフラインクラッキング:サービスアカウントのパスワードをクラックしようと試みる
技術的な実行
ドメインコントローラは、リクエストを行ったユーザーが実際にサービスにアクセスする権限を持っているかどうかを確認せずに、これらのチケットをターゲットのサービスアカウントのNTLMパスワードハッシュで暗号化して生成します。攻撃の効果は、正規の認証ワークフロー内で動作する能力から生じます。ドメインコントローラはこれらのチケットリクエストを通常のKerberos操作として処理します。
パスワード クラッキング ツール
- Hashcat:GPUベースの高速パスワードクラッキングに最適化
- John the Ripper:辞書ベースの攻撃に特化
- Impacket:チケットの操作と抽出に使用
パスワードクラッキングフェーズがオフラインで行われるため、アカウントのロックアウトや伝統的な監視システムなどのセキュリティ対策を回避することができ、攻撃は特に危険です。弱いパスワードを持つサービスアカウントや、「パスワードの有効期限がない」設定がされているアカウントを対象とすると、成功率は大幅に上昇します。これらのアカウントは、しばしば古いセキュリティ ガイドラインに従って設定されています。
Kerberoasting攻撃の被害と事例
Kerberoasting攻撃は、組織のセキュリティに対して深刻なリスクをもたらし、その結果として生じる金銭的損失は莫大なものとなります。
BlackSuitランサムウェア集団は、サービスアカウントの資格情報を成功裏に悪用してネットワークへの高度なアクセスを得ることを示しました。同様に、Akiraランサムウェア一団によるKerberoasting攻撃は、全世界で250の組織に影響を与え、4200万ドルの身代金を生み出しました。
組織のリスク
- ラテラルムーブメント: 攻撃者は、侵害されたサービスアカウントを利用してネットワークを移動し、機密データや知的財産にアクセスします。
- 権限昇格: 脅威の主体は、ドメイン管理者レベルへのアクセスを昇格させ、Active Directoryドメインを完全に制御することができます。
- インフラの侵害: 組織は、クラウドとレガシーシステムの両方に影響を及ぼす包括的なインフラ侵害に直面します。
事例
- Operation Wocao: 中国に拠点を置く脅威の主体は、PowerSploitのInvoke-Kerberoastモジュールを使用してWindowsサービスアカウントを侵害し、対象となるシステムへの持続的なアクセスを維持しました。
- Carbon Spider: 攻撃者はRubeusを用いてKerberoasting攻撃を行い、AESハッシュを取得し、わずか2時間で攻撃を完了し、ドメイン全体を成功裏に暗号化しました。
- OPMの侵害: 脅威の主体は、侵害されたサービスアカウントを利用して数百万人の連邦職員の背景調査記録にアクセスし、数ヶ月にわたって検出されずにアクセスを維持しました。
これらの攻撃の潜伏性はその影響を増大させ、レガシー インフラストラクチャと通常の認証ノイズが検出を困難にします。組織は、長期間にわたる未検出の侵害に直面し、持続的なデータの露出と潜在的な規制遵守違反を引き起こすことがよくあります。
Kerberoasting攻撃への対策
組織は、Kerberoasting攻撃に対抗するために、防御の複数の層を実装する必要があります。包括的なセキュリティ戦略は、パスワード保護ポリシー、継続的なモニタリング、および高度な認証手段を組み合わせて、これらの高度な脅威に対する効果的な防御を作り出します。
必要なセキュリティ コントロール:
- 強力なパスワードポリシーとして、最低25文字のパスワードを実装します。これには、文字、数字、特殊文字の複雑な組み合わせを取り入れます。定期的なパスワードのローテーションスケジュールは例外なく維持されるべきです。
- 特権アクセス管理(PAM)ソリューションを展開して、サービスアカウントの資格情報を自動的にローテーションし、特権アカウントへのアクセスを管理します。このアプローチは、静的な長期の資格情報のリスクを排除します。
- 高度な監査ポリシーを有効にして、TGSチケットのリクエストを監視し、疑わしいKerberos認証パターンに対するリアルタイムのアラートを実装します。異常なサービスチケットのリクエストを特定するためのログを設定します。
- サービスアカウントを最小限の特権に制限し、定期的にSPN設定を監査して不必要な割り当てを削除します。登録されたSPNを持つアカウントの数を制限します。
高度な保護手段:
- gMSA(グループ管理サービスアカウント)を実装して、パスワード管理を自動化し、静的なサービスアカウントのパスワードの必要性を排除します。これらの管理アカウントは、自動的な資格情報のローテーションを通じて強化されたセキュリティを提供します。
- MFA(多要素認証)を、サービスアカウントの管理と管理機能を含むすべての特権アクセスに対して展開します。敏感な操作に対しては追加の認証要素を要求します。
- Microsoftの保護されたユーザー セキュリティ グループを利用して、Kerberosの事前認証で弱い暗号化タイプの使用を防ぎます。この措置は、パスワードクラッキング試行の複雑さを大幅に増加させます。
- Active Directory証明書サービスを可能な限り使用してサービス認証を行い、パスワードベースの認証方法への依存を減らします。証明書ベースの認証はより強力なセキュリティ コントロールを提供します。
Kerberoasting攻撃は、企業のセキュリティに対する進化する脅威を表しており、組織が日々依存している基本的な認証メカニズムを悪用します。これらの攻撃を理解することは、脅威の主体がサービスアカウントを侵害し、重要なシステムへの不正なアクセスを得るために高度な技術を活用し続ける中で、極めて重要です。ハイブリッド環境とクラウド インフラストラクチャの複雑さが増すことで、これらの攻撃の潜在的な影響は一層増大しています。
組織は、包括的なセキュリティ対策を実装することにより、積極的な立場を採る必要があります。定期的なセキュリティ評価と、新たな脅威についてのスタッフの継続的なトレーニングを組み合わせることで、Kerberoasting攻撃や同様の攻撃ベクトルに対する防御の強固な基盤を作り出します。
Kerberoasting攻撃の検出
現代の検出戦略は、複数のデータソースと監視技術を活用して、潜在的なKerberoasting攻撃を特定します。先進的なセキュリティツールは、認証パターンとサービスチケットのリクエストを分析し、攻撃者がサービスアカウントを侵害する前に、疑わしい行動を検出します。
以下は、最も一般的なKerberoasting攻撃の検出方法と技術の一部です:
- イベントログ分析:イベントID 4769のログを監視し、通常と異なるTGSチケットのリクエストとRC4-HMAC暗号化(タイプ0x17)の使用パターンを探します
- ディセプション技術:魅力的だが存在しないサービスを持つKerberoasting ハニーポットを展開し、潜在的な攻撃者を捕捉します
- ネットワーク監視:Zeekのようなネットワーク トラフィック分析ツールを実装し、Kerberosプロトコルの活動と認証試行を監視します
- セキュリティ情報およびイベント管理(SIEM):複数のシステムと認証エンドポイント間でKerberos関連のイベントを相関させます
- ID追跡:初期段階のIDインフラストラクチャ リスクと異常なアクセスパターンを認識するために、IDセキュリティツールを展開します
- 行動分析:サービスチケットのリクエストにおける異常を特定するために、行動ベースの検出システムを実装します
- コマンド監視:包括的なActive Directoryログを通じて、疑わしいPowerShellの活動と認証情報のリクエストを追跡します
- エンドポイント検出:エンドポイントレベルでの侵害試行を特定するために、先進的な脅威ハンティング能力を活用します
効果的な検出は、適切にログメカニズムを設定し、認証パターンを継続的に監視することに依存します。
Kerberoasting攻撃に対するソリューション
Proofpoint Identity Protectionは、高度な脅威検出と対応機能を通じて、Kerberoasting攻撃のようなIDベースの攻撃に対する包括的な保護を提供します。このソリューションは、認証パターンの連続的な監視、疑わしい活動への自動的な対応、ハイブリッド環境全体のIDベースの脅威に対する詳細な可視性を提供します。
機械学習と行動分析を組み合わせることで、プルーフポイントは組織が資格情報の盗難を検出し防ぐのを助け、高度な攻撃手法からサービスアカウントを保護するための適応的な認証制御を提供します。