Mimikatzとは？その仕組みは？

Mimikatzの概要

ハッカーやセキュリティ担当者が、パスワードや認証情報などの重要なデータを、コンピュータの記憶領域から抽出するために使うプログラムです。多くの場合、制限されたエリアやリソースへのアクセス権を獲得したり、権限を昇格させたり、ネットワーク内で横展開するために利用されます。

攻撃者の目的により、さまざまな使われ方があり、以下はその一例です：

• RAMからパスワードを盗むことで、ネットワーク、システム、またはアプリへのアクセスを得る。
• 盗んだ機密情報を利用し、マルチファクター認証などの認証対策を回避する。
• システムの制限区域に不正アクセスしたり、その他の有害な行為を実行するには、まず対象マシンの管理者権限を取得する必要がある。
• ネットワーク内で横展開することで、従来アクセスできなかったシステムにも到達できる。

まとめると、攻撃者がネットワーク、システム、アプリを侵害し、その他の悪意ある活動を行うための強力なツールです。

Mimikatzの歴史

2007年、Benjamin Delpyは、Microsoftの認証方式の脆弱性を調査する概念実証として本ソフトを開発した。

その後、Mimikatzの機能は強力なパスワード盗用ツールへと進化し、近年ではドイツ議会のハッキングやCarbanakグループによる数百万ドル規模の銀行窃盗など、幅広い攻撃に利用されている。また、NotPetyaやBadRabbitのランサムウェアは、NSAのハッキングツールと組み合わせ、攻撃の自動化によりネットワークを感染させ甚大な被害をもたらした。

‍

Mimikatzの利用手法

当初はWindows認証プロトコルの一箇所の脆弱性を突く方法が示されたが、現在のバージョンでは複数のセキュリティホールを露呈し、さまざまな認証情報の収集が可能となっている。

• パス・ザ・チケット: 最新のWindowsではパスワード情報がチケットに保存され、これによりKerberosチケットを別のマシンと共有し、そのマシンの認証情報でログインできる。パス・ザ・ハッシュと似た仕組み。
• パス・ザ・キー: パス・ザ・ハッシュの一種で、ドメインコントローラから盗んだ特別なキーを用いてユーザになりすます。
• ゴールデンKerberoastチケット: これはパス・ザ・チケットの手法の一つで、他のチケットを暗号化するKRBTGTという隠されたアカウント用の特定のチケットを狙う。ゴールデンチケットは、ネットワーク内のどのマシンでも使用できる恒久的なドメイン管理者の認証情報である。
• Kerberoastシルバーチケット: こちらもパス・ザ・チケットだが、Windowsの機能を利用し、ネットワーク上のサービスアカウントの認証に必要なチケットグラントサーバ（TGS）のチケットを悪用する。Microsoftが発行後のTGSを必ずしも厳重にチェックしないため、セキュリティ対策を回避しやすい。
• パス・ザ・キャッシュ: 最後に、Windowsを使わない攻撃手法。パス・ザ・キャッシュはユーザの実際のチケットではなく、Mac/UNIX/Linuxマシン上の保護・暗号化されたログイン情報を用いる点が、パス・ザ・チケットと異なる。

‍

現在のMimikatzの使われ方

以下の手順でMimikatzの動作を確認できる。

1. Step 1 - 管理者権限でMimikatzを起動する。

システム管理者としてログインしていても、「管理者として実行」しなければ正しく動作しない。

2. Step 2 - Mimikatzのインストールを確認する。

以下の2種類で提供される：

• 32bit 
• 64bit

Windowsが最新の状態であるか確認し、実行ファイルの詳細情報や、現行のWindowsバージョン、または設定により正常に動作していない可能性があるかを知るには、Mimikatzのプロンプトに「version」と入力する。

3. Step 3 - メモリから「プレーンテキストのパスワード」を取得する。

sekurlsaモジュールを用いてメモリからキーを取得する。sekurlsaのコマンドを実行するには、管理者権限かSYSTEM権限が必要である。

まず、次のコマンドを入力する：

mimikatz # privilege::debug

出力内容で必要な権限があるか確認できる。

その後、進行状況を記録するためにログ記録を開始する：

mimikatz # log nameoflog.log

最後に、このマシン上の全ての暗号化されたパスワードを表示する：

mimikatz # sekurlsa::logonpasswords

‍

Mimikatzはエンドポイントセキュリティソフトを突破できるか

OSが十分に対応できない場合、第三者製のプライバシーソリューションで攻撃を防げるかが問われるが、従来型アンチウイルスや一部の次世代技術ではMimikatzに対して十分な防御ができないことがある。前述のように、対策としてパッキングに対応していなかったり、特定の動作やイベントを監視していなければ、攻撃を検知・阻止することは難しい。

さらに、正しく動作させるには対象コンピュータで管理者権限またはSYSTEM権限が必要なため、攻撃者は既にその権限を有するプロセスにコードを注入するか、権限の昇格によりアンチウイルスソフトの対策を回避する必要がある。特に、アンチウイルスが「信頼済み」のOSプロセスをホワイトリストに登録している場合、その対策は困難である。

‍

Mimikatzから守る方法

攻撃者がWindowsマシンでルート権限を取得しなければ実行できないため、防御は難しく、場合によっては被害を最小限に留めるにとどまります。以下に、Mimikatzによるマルウェア攻撃への対策を示します。

• 管理者権限の制限：本当に必要な者にのみ権限を付与する。
• 保存されたパスワードの無効化：Windowsのレジストリに最近のパスワードハッシュが保存されるため、キャッシュされたパスワードにアクセスされるリスクを避くため、デフォルトでパスワードを保存しない設定にする。設定は「コントロールパネル ＞ ローカルセキュリティポリシー ＞ セキュリティオプション ＞ インタラクティブログオン」から変更できる。
• デバッグモードの無効化：Windowsの既定設定によりローカル管理者がデバッグ機能にアクセスできるため、ハッカーの侵入を防ぐためにデバッグアクセスを無効にする。

さらに、追加のLSA保護機能を設定する。Windows 10へのアップグレードは認証攻撃から守る助けとなり、Microsoftは攻撃対象を減らすためのLSA設定オプションも提供している。