はじめに:2025年のKerberoasting攻撃
Kerberoasting攻撃は、ITプロフェッショナルにとって依然として頭痛の種であり、ハッカーが特権を昇格させ、Active Directory (AD) 環境の最高レベルに到達することを可能にします。しかし、堅牢なパスワード、暗号化、およびサイバーセキュリティポリシーを徹底することで、犯罪者が攻撃を開始する前に阻止することができます。
「Kerberoasting」という用語は、MicrosoftのADが特定の資源へのアクセスを要求するコンピューターやユーザーの身元を確認するために使用する認証プロトコル「Kerberos」に由来します。この攻撃の力は、そのエスカレーションの性質にあります。サイバー犯罪者は、マルウェア、フィッシングなどの一般的な犯罪手法を通じてアクセスした、AD内の標準的なWindowsユーザーアカウントを悪用することから始めます。
しかし、攻撃者の真の目標は、サービスプリンシパル名 (SPN) によって識別される「サービスアカウント」を標的にすることです。これらはWindowsサービスを実行するタイプのアカウントであり、通常は一般ユーザーが使用することはありません。サービスアカウントは、多くの場合、サービス全体にわたる高レベルの権限を持ち、場合によってはドメイン管理者アクセス権さえも含むため、ハッカーにとって魅力的です。
Kerberoasting攻撃の仕組み
では、攻撃者はどのようにして通常のユーザーアカウントからサービスアカウントへと移行するのでしょうか?危険は、Kerberos内のシステムがチケットを付与するメカニズムにあります。Kerberosプロトコルは、ユーザー認証状態を「サービスチケット」と呼ばれるメッセージで伝達します。ADアカウントを持つユーザーであれば誰でも、チケット付与サービス (TGS) からAD内の任意のサービスアカウントへのチケットを要求できます。
これは、攻撃者が制御する通常のユーザーアカウントを使用して、SPNに紐付けられたサービスチケットを要求できることを意味します。ハッカーは、SecureAuth CorporationのGetUserSPNs.pyやGhost PackのRubeusのような無料のオープンソースツールを使用して、このようなアカウントを非常に簡単に特定できます。これらのツールは、サービスアカウントに関連付けられた有効なチケットを自動的に要求することもできます。
各チケットは、ターゲットアカウントのパスワードのハッシュ(SPNに紐付けられたパスワード)で暗号化されています。攻撃者はチケットをオフラインに持ち出し、ブルートフォース技術を使用して、時間をかけてパスワードハッシュを解読します。これにより、サービスアカウントとその関連するすべてのアクセスを乗っ取り、そこからさらに権限を拡大することが可能になります。
Active Directoryパスワードの強化
Verizonのデータ侵害調査レポートによると、盗まれた認証情報は侵害の44.7%に関与しています。アカウントが適切に保護されていれば、これらの攻撃は不可能でしょう。たとえハッカーがチケットを入手してオフラインに持ち出したとしても、最高レベルの暗号化とパスワードの複雑さが、チケットハッシュを解読する彼らの努力を阻止するはずです。
したがって、最初の明白なステップは、使用しているパスワードを監査し、Kerberoastingの世界で目的に適していることを確認することです。Specops Password Auditorのようなツールは、ADをスキャンしてパスワード関連の脆弱性を特定する上で重要な役割を果たします。これは主に3つのレベルで機能します:
- ADアカウントの監査:10億を超える脆弱なパスワードに対してユーザーアカウントをチェックし、攻撃者に狙われる可能性のある弱いパスワードをスキャンし、ドメイン内の古いまたは非アクティブな特権アカウントを監査します。
- パスワードレポートによるリスク分析:ポリシーがユーザーに安全なパスワードを作成させるように機能していることを確認します。期限切れ、同一、または空白のパスワードを持つアカウントを特定し、ブルートフォース攻撃に対するポリシーの有効性を測定します。
- パスワードポリシーのコンプライアンス標準への適合:パスワードポリシーを最高の標準と比較し、サイバーセキュリティおよびプライバシー規制に準拠していることを確認します。
Kerberoasting攻撃の検出が困難な理由
巧妙な犯罪者がADのアーキテクチャを悪用して特権を昇格させるのがいかに簡単であるかを見てきました。しかし、もう一つの問題があります。Kerberoastingは、攻撃が進行中でも検出が困難な場合があります。
まず、ハッカーによるチケットの解読作業はオフラインで行われるため、検出できません。さらに悪いことに、これらの攻撃はマルウェアを必要としないため、アンチウイルスツールのような従来のソリューションでは検出できません。そして、攻撃者は正当なアカウントを乗っ取ることから始めるため、サイバーセキュリティ検出ソリューションを回避できます。これらのソリューションは通常、承認されたユーザーの行動を監視するように設計されていないためです。
では、Kerberoastingからアカウントを防御するために何ができるでしょうか?リスクを軽減するための多くの選択肢がありますが、ここではいくつかの主要な優先事項を挙げます。
サービスアカウントを保護するための対策
- すべてのドメインアカウントパスワードを定期的に監査する:パスワードは最も弱いリンクです。SPNが有効な各アカウントは、再利用不可能で、ランダムで、少なくとも25文字の長いパスワードで保護されるべきです。また、これらのパスワードを定期的にローテーションすることも確認する必要があります。
- グループ管理サービスアカウント (gMSA) を使用する:これは、複数のサービスまたはサーバーが同じアカウントを使用できるようにするADアカウントの一種であり、SPN処理の簡素化と自動パスワード管理を提供します。Microsoftが指摘するように、gMSAのパスワードは「120文字の長さで、複雑で、ランダムに生成されるため、現在知られている方法を用いたブルートフォースサイバー攻撃に対して非常に高い耐性を持っています」。
- AES暗号化を選択する:すべてのサービスアカウントがハッカーに対する潜在的なリスクにおいて同等ではありません。最も弱いターゲットは、RC4のような脆弱な暗号化アルゴリズムを使用しているアカウントです。AES暗号化を使用するアカウントは、犯罪者にとって解読がはるかに困難です。
次のステップ:組織全体のセキュリティ強化
Kerberoastingは重大な脅威ですが、その危険性は対処可能です。最初のステップは、SPNを持つすべてのユーザーアカウントの監査を実施することです。一部のアカウントにSPNが不要であることが判明した場合は、単にそれらを削除してください。
より広範なレベルでは、組織全体で堅牢なパスワードポリシーとサイバーセキュリティ衛生を徹底してください。Kerberoastingは通常のユーザーアカウントを攻撃することから始まるため、全員が長く複雑なパスワードを定期的にローテーションして使用するようにしてください。さらに良いのは、多要素認証のポリシーを追求し、従業員がマルウェアやフィッシングの危険性を認識していることを確認することです。
サイバー犯罪者は、簡単にアクセスできるツールを悪用して攻撃を仕掛けます。しかし、テクノロジーもあなたの味方です。例えば、Specops Password Policyは、40億を超える固有の侵害されたパスワードを継続的にブロックするように設計されており、これらの潜在的な問題をスキャンし、侵害されたパスワードを毎日発見します。このような防御策があれば、Kerberoastingが最初から失敗し、重要なサービスアカウントを悪用から保護することができます。