チケットを渡す。
Pass the Ticket: 拡張定義
Pass the Ticketは、Kerberosチケットを盗み再利用することで、不正にネットワークへのアクセスを獲得するために一般的に使われるサイバー攻撃の手法です。Kerberosはティケットを使用して利用者およびサービスの認証を行うネットワーク認証プロトコルです。Pass the Ticket 攻撃は、Kerberos認証プロセスの脆弱性を悪用してチケットを偽造または改ざんし、攻撃者がネットワーク内を横移動し、正当な資格情報なしでリソースにアクセスできるようにします。
Pass the Ticketの仕組み
Pass the Ticket攻撃は通常以下のステップを含みます:
初期侵入: 攻撃者はソフトウェアの脆弱性、フィッシング攻撃、またはソーシャルエンジニアリング戦術など様々な手段を使ってネットワークにアクセスします。一度ネットワーク内部に侵入すると、攻撃者は1台または複数の機器やユーザーアカウントを侵害します。
チケット収集: 攻撃者が侵害された機器やユーザーアカウントを支配した後、それらのシステム上に保存されたKerberosチケットを収集します。Kerberosチケットにはセッションキーやユーザーの資格情報を含む暗号化された認証情報が含まれています。
チケット改ざん/偽造: 次の段階で、攻撃者はさまざまなツールや技術を用いて盗まれたKerberosチケットを改ざんまたは偽造します。対象となるサービスや、チケットの有効期間、チケットに関連付けられたユーザーの権限など、チケットの属性を変更できます。これらの属性を操作して、攻撃者はネットワーク内の特定のサービスやシステムに非正当なアクセスを自ら付与します。
無許可のネットワークアクセス: 改ざんまたは偽造されたKerberosチケットを持っていることで、攻撃者はネットワーク内を横移動し、侵害されたチケットを利用して他のサービスやシステムに認証できます。これにより、正当な資格情報を持たずにリソースやシステムにアクセスすることが可能です。攻撃者はネットワークを移動し、権限を引き上げ、潜在的に重要なデータやシステムを侵害する可能性があります。
予防のヒント
Pass the Ticket攻撃に対する強力な防御を構築するためには、次の予防策を考慮してください:
定期的な監視と監査: Kerberosチケットの定期的な監視および監査を実施し、異常や不正なチケット使用を検出します。監視ツールは、異常なアクセスパターン(異なる場所からの複数のログイン試行や不規則なチケット要求など)を特定するのに役立ちます。
強力なアクセス制御: ネットワーク内の強力なアクセス制御を施行し、最小権限の原則に従います。ユーザーがタスクを実行するために必要最低限の権限だけを許可する役割ベースのアクセス制御(RBAC)を導入します。ユーザーアクセスを制限することで、侵害されたチケットの潜在的な影響を減少させます。
職務分離: ネットワーク内でのチェックアンドバランスを作成するために職務分離を実施します。これは、責任を分散し、特権を委譲して、いかなる単一のユーザーまたはアカウントも重要なシステムやリソースへの無制限のアクセスを持たないようにします。
定期的なシステム更新とパッチ適用: システム、アプリケーション、およびネットワークインフラストラクチャーを最新のセキュリティパッチと更新で最新の状態に保ちます。定期的なパッチ適用により、不正アクセスを獲得しKerberosチケットを侵害するために悪用される可能性のある既知の脆弱性のリスクを減じます。
多要素認証: 多要素認証(MFA)を導入して追加のセキュリティ層を提供します。パスワードと携帯デバイスに送信される一意のコードなど、複数の認証形式を要求することで、攻撃者が盗まれたチケットを悪用するのを難しくします。
セキュリティ意識向上トレーニング: ユーザーや従業員にPass the Ticket攻撃やその他の一般的なサイバー脅威について教育します。フィッシングの試みや不審なログインプロンプトなど、疑わしい活動を認識して報告する方法についてのトレーニングを提供します。
これらの予防策を組み合わせることで、組織はPass the Ticket攻撃のリスクを大幅に減少させ、ネットワーク全体のセキュリティを強化できます。
関連用語
Kerberos Authentication: チケットを利用してネットワーク環境内でユーザーとサービスの認証を行うネットワーク認証プロトコルであるKerberosの詳細を学ぶ。
Pass the Hash: パスワードハッシュをキャプチャし再利用して不正アクセスを得るためにしばしば使用される攻撃手法であるPass the Hashの概念を探る。