Mimikatzとは？検知と対策

ベライゾンの2024年版「データ漏洩調査報告書」によると、盗まれた認証情報はウェブアプリケーション侵害の80%において主要な攻撃経路となっており、すべての初期侵入行為のうちの24%に関与していました。Mimikatzのようなツールは、この認証情報窃盗の蔓延において中心的な存在となっています。

165の組織に影響を与えた大規模なSnowflake侵害や、1億人の顧客に被害を及ぼしたChange Healthcareインシデントも、いずれも盗まれた認証情報を利用して企業ネットワークに侵入しました。もともとは概念実証用のセキュリティ研究ツールとして始まったものが、いまやサイバー犯罪者の最も広く使われる攻撃手段の一つへと進化しています。

Mimikatz（ミミカッツまたはミミカツ）とは、Windowsのメモリに保存されている認証情報を表示および収集できるオープンソースの認証情報抽出ツールです。このアプリケーションは、すでに侵害されたWindowsシステムから、平文のパスワード、パスワードハッシュ、PIN、およびKerberosチケットを抽出することに特化しています。その強力さは、Windowsがメモリ内の認証データの処理における根本的な欠陥を悪用する点にあります。

フランスのセキュリティ研究者であるBenjamin Delpyは、Microsoftの認証プロトコルのMicrosoftの認証における脆弱性を実証するための概念実証として、2007年にMimikatzを作成しました。Delpyは当初、このセキュリティ上の欠陥についてMicrosoftに連絡しましたが、すでに侵害されたマシンが必要であると伝えられました。彼は、このツールを使用すると、単一の侵害されたシステムからネットワーク上の他の非侵害マシンにアクセスできることに気づきました。Mimikatzの名前は、その見かけ上無害な起源を反映して、フランス語のスラングで「かわいい猫」を意味する言葉に由来しています。

今日、Mimikatzは、正当なセキュリティテストの目的とハッキングの目的の両方に役立つデュアルユースツールとして機能しています。レッドチームおよびペネトレーションテスターは、ネットワークの脆弱性を評価し、実際の攻撃シナリオをシミュレートするためにMimikatzを利用しています。ただし、ランサムウェアグループから国家を背景とした攻撃者に至るまで、脅威アクターは、エンタープライズ ネットワーク全体でのラテラルムーブメントと権限昇格のために、Mimikatzをツールキットの標準コンポーネントとして採用しています。

Mimikatzは、単一の侵害されたシステムをネットワーク全体のアクセスへのゲートウェイに変える、体系的な多段階プロセスを通じて動作します。

• 初期アクセスと権限昇格: 攻撃者はまず、フィッシング、脆弱性の悪用、またはソーシャル エンジニアリングなどのさまざまな方法で、ターゲットシステムに対する管理者権限を取得します。Mimikatzは、認証情報が保存されている機密性の高いメモリアドレスにアクセスするために、昇格された権限を必要とします。
• LSASSを介したメモリアクセス: Mimikatzは、ユーザー認証を管理し、認証情報をシステムメモリに保存するローカルセキュリティ認証サブシステムサービス（LSASS）プロセスに直接アクセスします。LSASSは、現在ログインしているすべてのユーザーと最近のログインセッションの認証データを保持します。
• 認証情報の抽出とダンプ: Mimikatzは、プレーンテキスト パスワード、NTLMパスワードハッシュ、Kerberos認証チケットなど、さまざまな種類の認証データをメモリから抽出します。Mimikatzは、現在ログインしていないが、最近システムにアクセスしたユーザーからでも認証情報を取得できます。
• ハッシュ処理と検証: 抽出されたNTLMハッシュは、認証に使用できるかどうかを判断するために処理されます。Mimikatzは、より弱いハッシュをクラックしたり、元のパスワードを必要とせずに認証試行で直接使用したりすることもできます。
• Pass-the-hash攻撃（パスザハッシュ攻撃）: 攻撃者は、盗まれたNTLMハッシュを使用して、実際のパスワードを知らなくてもネットワーク上の他のシステムに対して認証を行います。Pass-the-hashテクニックは、ハッシュ自体を認証トークンとして利用することにより、従来のパスワードベースのセキュリティ制御をバイパスします。
• Pass-the-ticketの悪用: Mimikatzは、抽出されたKerberosチケットを利用してユーザーを偽装し、ネットワークリソースにアクセスします。ゴールデンチケットとシルバーチケットを偽造して、ドメイン インフラストラクチャ全体で永続的なアクセスを維持できます。
• ラテラルムーブメントと権限昇格: 収集された認証情報を使用して、攻撃者はネットワーク内を水平方向に移動し、追加のシステムとリソースにアクセスします。新しく侵害された各システムは、認証情報を収集するための別のソースとなり、エンタープライズ環境全体に波及効果を生み出します。

Mimikatzの使用は、最も一般的な権限昇格を用いた攻撃の1つです。プルーフポイントの製品マーケティング マネージャーであるMatthew Gardinerは、以下のように述べています。「Mimikatzは、Windowsを実行しているエンドポイントから認証情報を取得するプロセスを自動化する広く使用されているツールです。そのため、侵害されたシステム内で権限を昇格させるための非常に効果的なツールです。」

Mimikatzは、セキュリティ研究ツールとしての歴史がありながら、サイバー犯罪者の兵器庫で最も広く展開されている攻撃ツールの1つになりました。高度標的型攻撃（APT）グループやランサムウェアのオペレーターは、侵害後の活動のために、Mimikatzを一貫して攻撃チェーンに組み込んでいます。Mimikatzは、認証情報を抽出し、ラテラルムーブメントを可能にする効果があり、多様な脅威の状況において、不可欠な技術となっています。

NotPetyaランサムウェア

NotPetya攻撃は、Mimikatzが大規模に悪用された場合の最も壊滅的な事例の1つです。ロシアが支援するこのキャンペーンは、Mimikatzの修正版と、リークされたNSAのEternalBlueエクスプロイトを組み合わせて、数十億ドル規模の世界的損害を引き起こす自己拡散型の攻撃ツールを作り出しました。NotPetyaはMimikatzを使用して、侵害されたシステムからWindowsの認証情報を盗み、それらの認証情報をWMICやpsexec.exeなどの正当なWindowsツールで使用して、ネットワーク全体にラテラルムーブメントを行いました。

この攻撃の成功は、Mimikatzがメモリから管理者認証情報を抽出し、一般的なネットワークの構成ミスを悪用する能力にかかっていました。複数のエンドポイントで管理者のパスワードを共有している組織は特に脆弱であり、単一の侵害されたシステムがネットワーク全体の鍵を提供する可能性がありました。EternalBlueによる初期アクセスと、Mimikatzによる認証情報の収集の組み合わせが、ネットワーク全体の侵害を自動化する壊滅的な攻撃チェーンを作り出しました。

モダンなランサムウェア

モダンなランサムウェアは、侵害後のツールキットのコアコンポーネントとしてMimikatzを標準化しています。DoppelPaymer、Nefilim、NetWalker、Maze、ProLock、RansomExx、Sodinokibiなどの主要なランサムウェアファミリーはすべて、認証情報のダンプと権限昇格のためにMimikatzを組み込んでいます。これらのグループは、より広範なネットワークアクセスと、より破壊的なペイロード展開のために、偵察フェーズ中にこのツールを展開して、管理者認証情報を収集します。

NetWalkerは、PowerSploitのInvoke-Mimikatzを使用してファイルレス実行を行うことで、高度なMimikatzの統合を実証しています。このアプローチでは、ファイルをディスクに書き込まずに、Mimikatzを直接メモリにロードするため、検出が大幅に困難になります。収集された認証情報は、セキュリティツールを無効にし、重要なシステムにアクセスし、エンタープライズ環境全体で昇格された特権を持つランサムウェア ペイロードを展開するために使用されます。

APTグループ

先進的な国家や高度な犯罪グループは、Mimikatzを標準的な運用プレイブックに組み込んでいます。APT28（Fancy Bear）、APT29、Lazarus、Turla、Carbanak、FIN6などの注目すべきAPTグループは、Mimikatz技術のカスタム実装を定期的に展開しています。これらのグループは、エンドポイント セキュリティ コントロールを回避し、攻撃の成功を確実にするために、Mimikatz機能を呼び出す独自の方法を開発することがよくあります。

APT29は、LSASSメモリダンプ、パスザハッシュ攻撃、トークン偽装など、複数の攻撃ベクトルを通じて高度なMimikatzの使用法を実証しています。このグループは、米国政府機関に対する高度なサプライチェーン攻撃中にこれらの技術を活用し、Mimikatzを使用して特権を昇格させ、侵害されたネットワーク全体で永続的なアクセスを維持しました。高度な攻撃者は、Mimikatzと他の正規ツールを統合することで、認証情報の窃盗とLiving-off-the-Land（LotL）技術を巧みに組み合わせています。

Cobalt Strikeの統合

Cobalt Strikeフレームワークは、それほど高度ではない脅威アクターでもアクセスできるコア機能としてMimikatzを組み込むことで、そのリーチを拡大しました。Cobalt Strikeは、適切なプロセスコンテキストからメモリ内でMimikatzを直接呼び出すことができるため、多くの従来のセキュリティ コントロールをバイパスするファイルレス攻撃が可能になりました。

Cobalt Groupのような犯罪グループは、この統合を中心に運用モデル全体を構築し、Cobalt Strikeのコラボレーション機能を使用して、認証情報の収集とラテラルムーブメントのためにMimikatzに大きく依存する多段階攻撃を活用しています。フレームワークがディスク書き込みなしでMimikatzを実行できるため、これらの攻撃はセキュリティチームが効果的に検出して対応することが特に困難になっています。

Mimikatzは、Windowsの正規の機能そのものを武器として悪用するため、従来のサイバーセキュリティのアプローチに対して根本的な課題を突きつけます。Mimikatzは、通常の認証操作中に正当なシステムプロセスが使用するのと同じメモリアドレスとAPI呼び出しにアクセスするため、検出が非常に困難です。特定の脆弱性を悪用する典型的なマルウェアとは異なり、Mimikatzは、セキュリティツールが通常のシステム機能を中断せずに単純にブロックできない、文書化されたWindows APIとメモリ構造を利用します。

「簡単なPowerShellコマンドで、攻撃者は必要な権限を持つユーザーを見つけることができます」と、プルーフポイントのスタッフ セールス エンジニアであるTim Nursallは警告しています。さらに、「Mimikatzのような既製のツールを組み合わせれば、数秒以内に、ネットワーク上のすべてのハッシュとすべてのActive Directoryの権限にアクセスできます」と付け加えます。

Mimikatzの影響は、単純な認証情報の窃盗にとどまらず、エンタープライズ環境における多要素認証（MFA）保護を弱体化させるまでに及びます。認証されたユーザーがMFA検証を完了すると、そのKerberosチケットはセッション期間中有効なままとなり、Mimikatzはこれらのチケットを抽出して再生し、追加のMFAプロンプトをトリガーせずにネットワークリソースにアクセスできます。ゴールデンチケット攻撃とシルバーチケット攻撃は、特に高度な手法であり、Active Directoryの信頼関係を悪用して認証チケットを偽造し、パスワードのリセットやアカウントのロックアウトを回避する永続的なアクセスを提供します。

Mimikatzがモダンな攻撃チェーンで広く使用されていることは、認証情報ベースのセキュリティモデルの重大な限界を浮き彫りにし、行動検知機能の必要性を示しています。静的な指標に依存する従来のセキュリティアプローチは、正当なシステム機能を悪用するツールに対しては効果がありません。組織は、初期認証の成功のみに依存するのではなく、ユーザーの行動を継続的に検証するゼロトラストアーキテクチャを採用しながら、認証情報の使用、認証フロー、および特権アクセスアクティビティにおける異常なパターンを監視するソリューションを実装する必要があります。

効果的なMimikatzの検知には、技術的な指標と行動分析を組み合わせた多層的なアプローチが必要です。これにより、ネットワーク全体の侵害につながる前に、認証情報の窃盗活動を特定します。

• 異常なLSASSプロセスの活動: LSASSのメモリ消費量の異常、CPU使用率の急上昇、または不正なアクセス試行を監視します。高度なEDRソリューションは、MimikatzがLSASSメモリから認証情報を抽出するために使用する、疑わしいメモリ スキャン パターンやNtReadVirtualMemoryなどの関数への呼び出しを検出できます。
• 疑わしいPowerShellの実行: Mimikatz関連のコマンド（Invoke-Mimikatz、-dumpcreds、sekurlsa::logonpasswords、sekurlsa::pth、kerberos::goldenなど）を含むPowerShellスクリプトブロックのロギングイベント（EventCode 4104）を監視します。これらのコマンドは、Mimikatzの機能がディスクにファイルを書き込まずにメモリに直接ロードされるファイルレス攻撃でよく見られます。
• メモリダンプツールとLiving-off-the-landバイナリ: procdump.exe、comsvcs.dll、psexec.exe、wmic.exeなど、認証情報窃盗のために悪用されている正当なシステムツールを監視します。これらのツールは、LSASSメモリをダンプしたり、ネットワーク内の他のシステムでのMimikatzのリモート実行を容易にしたりする可能性があります。
• 異常な認証パターン: 複数の認証試行の失敗、不慣れな場所または奇妙な時間からのログイン、複数のシステムにわたる迅速な連続ログインなど、異常なログイン アクティビティを探します。Pass-the-hashおよびPass-the-ticket攻撃は、通常のユーザーの行動とは異なる独特の認証パターンを作成することがよくあります。
• プロセスとコマンドラインの指標: 実行中のプロセスとコマンドライン引数で、「mimikatz」、「gentilkiwi」、「delpy」、またはsekurlsa::ticketsやlsadump::samなどの特定のモジュール名をスキャンします。ただし、高度な攻撃者は、署名ベースの検出を回避するために、実行可能ファイルの名前を変更したり、カスタム実装を使用したりすることがよくあります。
• ネットワーク トラフィックの異常: 異常なSMBアクティビティ、特にSMBv1の使用、外部宛先への予期しないファイル転送、または認証イベント後に大量のデータが流出していることを監視します。最新のXDRプラットフォームは、これらのネットワークの動作をエンドポイントのアクティビティと関連付けて、包括的な攻撃の可視性を提供できます。
• ファイルシステムの痕跡: 一時ディレクトリでの疑わしいファイルの作成、システムフォルダ内の異常な実行可能ファイル、または.dmpや.tmpなどの拡張子を持つメモリダンプファイルの存在を監視します。Mimikatzは、認証情報をディスクに保存したり、攻撃者がオフライン分析にダンプファイルを使用したりするときに、痕跡を残すことがよくあります。

Mimikatzや同様のツールは、従来のマルウェア シグネチャを使用するのではなく、正当なシステム機能を悪用するため、行動ベースの検出への移行が不可欠になっています。最新のEDRおよびXDRソリューションは、機械学習アルゴリズムを活用して、ベースラインの動作を確立し、認証情報の窃盗活動を示す逸脱を特定します。このアプローチは、攻撃者がツールを頻繁に変更したり、従来の検出方法を回避するためにカスタム実装を使用したりするため、静的な署名照合よりも効果的であることが証明されています。

Mimikatz攻撃を防ぐには、技術的な制御、アクセス管理、人中心のセキュリティ対策を組み合わせ、アタックサーフェスを減らすとともに、認証情報窃盗の影響を最小化する多層防御戦略が求められます。

認証情報の保護

最新のWindows環境には、Mimikatzのような認証情報収集ツールに対抗するために特別に設計された、いくつかの組み込み保護機能が備わっています。Windows Credential Guardは、仮想化ベースのセキュリティを使用して、機密性の高い認証データをオペレーティング システムから隔離し、攻撃者がメモリから認証情報を抽出することを著しく困難にします。LSA Protectionは、認証データとのやり取りにデジタル署名されたコードを要求することで、LSASSプロセスへの不正アクセスを防ぎます。

組織は、レガシーアプリケーションでどうしても必要な場合を除き、WDigest認証を無効にする必要があります。WDigestは、プレーンテキストのパスワードをメモリに保存するため、Mimikatzや同様のツールにとって格好の標的となります。このプロトコルを無効にすることで、Windowsは、ハッシュ化された認証情報のみをメモリに保存する、より安全な認証方法に依存するようになります。

アクセス制御

厳格なアクセス制御と特権管理を実装することは、認証情報ベースの攻撃に対する最も効果的な長期的な防御策となります。組織は、ドメイン管理者アクセスを必要不可欠な担当者と特定のタスクのみに制限することで、最小特権の原則を徹底する必要があります。特権アカウントの定期的な監査は、不要な権限を特定し、認証情報窃盗ツールが利用できるアタックサーフェスを削減するのに役立ちます。

システム全体での認証情報の再利用は、攻撃者が最初のアクセス権を取得すると、Mimikatzの影響を増幅させる連鎖的な脆弱性を生み出します。各システムは、一意のローカル管理者パスワードを使用し、ネットワークセグメント間のラテラルムーブメントを防ぐために、特権アカウントをセグメント化する必要があります。このアプローチは、潜在的な侵害を封じ込め、認証情報収集活動の範囲を制限します。

ユーザー教育

Mimikatzは効果的に動作するために初期システムアクセスを必要とするため、ユーザー教育はMimikatzの防止において重要な要素であり続けます。セキュリティ意識向上トレーニングプログラムは、フィッシング、ソーシャル エンジニアリングの認識、および不審な活動の報告の重要性を強調する必要があります。ユーザーは、Mimikatzのような認証情報窃盗ツールが、多くの場合、フィッシングやその他の人間を標的とした攻撃につながることを理解しなければなりません。

組織はまた、身元調査、アクセス監視、および明確なセキュリティポリシーを通じて、内部脅威のリスクに対処する必要があります。悪意のある従業員はすでに正当なシステムアクセス権を持っており、従来のセキュリティ制御をトリガーせずにMimikatzを展開する可能性があるため、内部脅威は重大な脆弱性となります。定期的なセキュリティ評価と行動監視は、広範囲な認証情報の侵害につながる前に、潜在的な内部不正使用を検出するのに役立ちます。

Mimikatzは、正当なWindowsプロセスから認証情報を抽出し、チケットの再利用によってMFAをバイパスする機能を持つため、エンタープライズ認証システムの基盤を悪用する永続的な脅威となっています。効果的な防御のためには、組織は従来のシグネチャベースの検出から脱却し、Credential GuardやLSA Protectionのような技術的な制御と、堅牢なユーザー教育および行動監視を組み合わせた包括的な戦略へと移行する必要があります。

プルーフポイントの包括的なサイバーセキュリティ プラットフォームは、高度なメールセキュリティ、脅威インテリジェンス、およびユーザー行動分析を通じて、Mimikatzの展開に先行することが多い、人を中心とした攻撃ベクトルに対処します。当社のソリューションは、攻撃者が認証情報収集ツールに必要なシステムへのアクセスを得るために使用する、初期の侵害方法を組織が検出および防止するのに役立ちます。プルーフポイントの脅威検出機能は、疑わしい活動や認証情報ベースの攻撃をリアルタイムで可視化します。また、セキュリティ意識向上トレーニングでは、ユーザーがMimikatz攻撃を可能にする典型的なソーシャル エンジニアリング手法を認識し、報告できるよう教育します。技術的な脅威防御と人的リスク管理を組み合わせることで、プルーフポイントは組織が進化し続ける認証情報窃盗の脅威に対して強靭な防御基盤を築くことを支援します。

詳細については、プルーフポイントにお問い合わせください。