Kerberoasting攻撃

Kerberoastingとは何か？

Kerberosは、Windows互換のプロトコルで、ネットワーク上のデバイス、アプリ、ユーザの認証を行います。この仕組みにより、ネットワークリソースへのアクセスを管理し、認可された専門家のみが利用できるようになっています。

Kerberoastingは、サイバー攻撃者が専用ツールを用いて暗号化されたKerberosチケットを解読し、その背後に隠された情報を探る攻撃手法です。

暗号が解読されると、攻撃者は守られたネットワークリソースや保管中のデータへアクセスできるようになります。

初心者向けに説明すると、サービスアカウントはドメインアカウントと一般アカウントを分離するための専用アカウントです。多くのセキュリティ重視の企業は、重要なデータへの頻繁なアクセスを防ぎ、脆弱性リスクを低減するために、これらのアカウントを利用しています。

これらのアカウントのアクセス権は主に高権限の担当者に付与され、権限も強化されています。こうしたアカウントにはKerberos認証が用いられ、ADドメインでルートレベルのアクセスを狙う攻撃者は、認証済みの管理アカウントを完全に制御する必要があります。

これは、事後の侵入手法の一例であり、ブルートフォース攻撃なども用いられます。一度平文パスワードが取得されると、攻撃者は実際のアカウントにアクセス可能となります。

Kerberos認証プロトコル

このプロトコルは、平文パスワードを介さずにチケットを用いてデバイスやユーザの認証を行います。チケットは、アクセスの許可・拒否を管理するサーバが保持する秘密鍵で、さらに厳重に暗号化されています。プロトコルで守られたネットワークリソースにアクセスするには、初めにこの秘密鍵を所有している必要があります。

なぜKerberos攻撃が多発するのか

こうした攻撃が増加し、甚大な被害をもたらす理由は、大部分のセキュリティ対策が認証済み活動の監視を行っていないためです。

企業は認証対策や堅固なパスワード運用を実施しているため、サービスアカウントが守られていると考えがちです。その結果、認証以外の対策が不十分となり、Kerberoastingの検知が難しくなります。

攻撃が成功してチケット鍵が容易に入手されると、攻撃者とネットワークリソースの間に障壁がなくなり、秘密鍵への横展開や重要情報の窃取が可能となります。

さらに、Windowsネットワークの普及が背景にあり、多くの攻撃者が幅広い対象としてWindows環境を狙っています。

最後に、このプロトコルは主に企業ネットワークで利用されているため、アクセスが可能になれば非常に重い情報が得られると攻撃者は考えています。

‍

Kerberoastingの仕組み

Kerberoastingには、以下の戦略的な手順が関与しています。

• アカウント認証の解読

攻撃の第一段階は、認証を回避することです。攻撃者はチケットにアクセスするために必要な権限を取得するため、通常は認証済みユーザのアクセス情報やログイン情報を悪用します。

この手法により、実際のアカウント所有者に気付かれることなくネットワークリソースへ侵入でき、対象アカウントの情報窃取が実現します。

• サービスチケットの入手

攻撃のもう一つの重要なプロセスは、サービスチケットを大量に入手し、それを用いて各パスワードを解読することです。この過程では、事前に認証されたKerberosのチケット発行チケット（TGT）が悪用されます。

場合によっては、攻撃者はネットワークトラフィックのスニッフィングでTGTにアクセスすることもあります。

• パスワードの解読

多くの場合、攻撃者は認証済みユーザのアクセス権やログイン情報を悪用し、直接チケットを取得します。取得後、パスワード解読という次の段階へ移行します。この際、暗号を解除するための専用ツールが必要です。

• 権限昇格の影響

パスワードが解読されると、攻撃者は標的リソースに深く侵入します。目的に応じ、重要データの窃取、設定の変更、またはマルウェアの埋め込みなどが行われ、特にAD PowerShellを利用してSPNを悪用するケースが多く、SQLが狙われる傾向があります。

Kerberoasting攻撃の例

前述の通り、Kerberoasting攻撃は頻発しており、一般的です。ここでは、特に有名な2つの例を紹介します。

1. Solorigate

Solorigateバックドア攻撃は、攻撃者がADのSPNに関するTGSチケットへアクセスすることに成功した、有名なKerberoasting攻撃です。この攻撃により多数の企業が影響を受け、Kerberoastingは攻撃手法の一つとして用いられました。

2. Wocao

Wocao作戦では、攻撃者がPowerSploitのInvoke-Kerberoastモジュールを悪用し、オフライン状態のWindowsサービスアカウントに関連する暗号化されたチケットとパスワードへのアクセスに成功しました。その後、管理アカウントへの侵入が実現します。

‍

KerberoastingとMimikatz

Kerberoasting攻撃を成功させるには、単なる技術だけでなく高度なツールが必要です。その中でもMimikatzは、重要データを抽出するために設計され、パスワード抽出を容易にします。

これを用いると、攻撃者はサービスチケットを取得し、関連するパスワードを解読します。複数のプロセスが自動化され、認証チケット抽出にかかる手間が軽減されますが、必ずしも攻撃者に有利とは限りません。企業は、統制された攻撃実験として、既存のセキュリティシステムの信頼性検証にも活用しています。

‍

Kerberoastingの検知と緩和

この攻撃は、セキュリティ対策実施後に発生するため検知が難しい面があります。しかし、ネットワークリソースに対する深刻な脅威であり、甚大な被害をもたらす可能性があるため、適切な対策が必要です。

ここでは、推奨されるKerberoasting検知技術と、その影響を完全または部分的に抑制する方法について解説します。

1. アイデンティティセキュリティ戦略

先進の検知手法であるアイデンティティセキュリティは、初期段階のアイデンティティインフラのリスクを把握することを目的とし、Active Directoryに対するKerberoasting攻撃の可能性を抑制します。

この革新的なツールは、Active Directoryの脆弱な設定を見つけ出すのに大いに役立ち、堅固なパスワード運用と併せることで、サービスチケット入手の難易度を高めます。

さらに、ネットワーク監視やMFAなどの標準的な対策を併用することが推奨されます。MFAを用いれば、複数のログイン手続きが必要となり、攻撃者は多重のセキュリティ層を突破しなければなりません。一方、ネットワーク監視により、怪しい活動が長時間見逃されることが防がれます。

2. 積極的な脅威ハンティング

Kerberoasting攻撃の効果的な検知には、脅威ハンティングが非常に有効です。この手法は、アカウントのセキュリティ侵害を早期に察知し、防止策を講じるのに役立ちます。

Kerberosプロトコル周辺の疑わしい活動、例えばサービスチケット毎のアクセス要求やパスワード解読の試みを監視することで、攻撃の初期段階を検知し、拡大を防ぐことができます。

3. エンドポイント保護

エンドポイント保護は、複数のデバイス保護、暗号化、ポート保護、ファイアウォールなど、多岐にわたる手法を組み合わせた包括的なセキュリティ対策です。以下、いくつかの推奨事項を示します。

• サービスアカウントに強力なパスワードを設定する際は、25文字以上で、数字、アルファベット、記号を組み合わせたものを選んでください。
• 長期間同じパスワードを使用せず、年に一度の変更を推奨します。
• gMSAやグループ管理のサービスアカウントを利用することで、各アカウントの認証情報管理の手間を削減できます。
• サービスアカウントの暗号化には、より優れた方式を利用してください。MITRE ATT&CKによれば、RC4よりもAESの方が解読が困難です。RC4は依然として使用されていますが、MicrosoftはKerberosチケットの暗号化にAESを採用しているため、速やかな切り替えが推奨されます。なお、アカウント設定からこの暗号化を有効化できます。
• サービスアカウントのアクセス権が過度に利用されないよう、特権アカウント管理を徹底してください。rootやSYSTEMなどの特権アカウントの権限見直し、不要なユーザの削除、チケット作成やアクセスの制限、日常的なドメイン管理者アカウントの使用抑制が推奨されます。
• MicrosoftのAzure Advanced Threat Protection（Azure ATP）は、初期段階で怪しい活動を検知し、クラウド全体の脅威情報を活用、Active Directory関連のIDと認証情報の管理保護にも寄与する先進的なエンドポイント保護ツールです。複数のネットワークエントリーポイントを一括で監視でき、時間と労力を節約できます。

4. ディセプション

ディセプションは、実際の資産のコピーを用いて攻撃者の注意を逸らすサイバー防御手法です。偽資産を餌として活用することで、攻撃者が本来の重要資産を狙わないようにします。

この手法により、Kerberoasting攻撃の検知と防止が期待できます。攻撃者が脆弱性と判断しやすい、僅かな隙を持つ偽ユーザアカウントを作成することが推奨されます。

これらのアカウントは常時監視され、不正なサービスチケット関連の活動を早期に発見できます。ただし、ディセプション技術単独では十分でない場合もあるため、他の先進技術と併用することが望ましいです。

Kerberosセキュリティポリシーの選択肢と組織への推奨事項

適切なセキュリティポリシーを導入することで、Kerberoasting攻撃のリスクは大幅に抑制可能です。Windowsは、Computer >Configuration>Windows Settings>Security> Settings>Account Policies>Kerberos Policyからアクセスできる特定のセキュリティポリシーを提供しており、デフォルトでの攻撃防御のための設定が推奨されています。

• ユーザーログインの境界を適用 - このポリシー設定は常に「有効」としておく必要があります。無効の場合、攻撃者がセッションチケットにアクセスできてしまいます。
• ‍サービスチケットの制限を設定 - このポリシーにより、セッションチケットでアクセスできる分数を予め定めることが可能です。組織は、この制限を十分に厳しく設定する必要があり、理想は600分です。これにより、ユーザのアクセスを制御し、無効なアカウントからのサービスチケット取得を防ぎます。
• ‍ユーザーチケットの有効期限制限 - このポリシーでは、ユーザがTGT（チケット発行チケット）を取得できる時間帯を定義できます。Kerberoastingリスク低減のため、管理が求められます。

専門家の推奨では、有効期限は10時間以内とし、長時間のログオン状態を防ぐことで攻撃リスクを抑制します。

• ユーザーチケット更新の有効期限 - 設定項目『Maximum lifetime for user ticket renewal』により、ユーザのTGT更新期限を予め定義できます。理想的には上限を7日に設定してください。値が高すぎると、攻撃者が古いチケットを更新し、正当なユーザに対して悪用する恐れがあります。
• ‍最大許容時間差を5分に設定 - Kerberoasting設定では、『Maximum tolerance for computer clock synchronization』ポリシーで、ユーザの時計とドメインコントローラの時間差を定義できます。専門家は、5分以内を推奨しています。大きな差は攻撃リスクを高めるためです。

結論

サービスアカウントは、重要なリソースへのアクセスに利用されるため、最高水準の保護とアクセス管理が求められます。この点での緩みは深刻なセキュリティリスクを招き、Kerberoasting攻撃もその一例です。

本稿で取り上げたアイデンティティセキュリティ、MFA、エンドポイント保護などの対策を組み合わせることで、ログイン認証情報の窃盗やサービスチケットの悪用を防止できます。各環境に最適な対策を選定し、先進的なKerberoasting防御を実現してください。