Kerberoasting

Kerberoastingについて

Kerberoasting（ケルベロスティング）は、主にWindows Active Directory（AD）環境を狙った攻撃手法のひとつです。この手法は、ケルベロス認証プロトコルの仕様を悪用して、正規のユーザーとして認証された攻撃者がサービスアカウントの情報を取得し、オフラインでその情報を解析することでサービスアカウントのパスワードを入手するものです。Active Directoryは多くの組織の認証・認可の基盤であるため、この攻撃が成功すると組織のリソースへの不正アクセスのリスクが高まります。

概要

Kerberoasting攻撃は2014年にTim Medinによって広く知られるようになりました。この手法は既存の脆弱性を利用したものではなく、Kerberosプロトコルの動作とActive Directoryの後方互換性によって成立しています。Kerberosプロトコルは、RFC 4120で定義されたチケットベースのシステムを利用してクライアントとサービス間の相互認証を行いますが、設計上の依存関係やオフライン攻撃に対する脆弱性が存在します。特に古いシステムとの互換性を保つために、RC4などの脆弱な暗号化が多くの環境でデフォルトで有効にされています。このため、攻撃者には優位な条件が整っています。

攻撃のメカニズム

Kerberoastingは、Active Directoryのドメインコントローラー（DC）がTGSチケットを発行する際の脆弱性を狙います。攻撃者は認証済みのユーザーとして、特定のサービス利用をリクエストし、DCからサービスアカウントのパスワードハッシュで暗号化されたチケットを受け取ります。これをメモリから抽出し、オフライン環境でブルートフォース攻撃を行うことで、平文のパスワードを特定します。特に、パスワード入りのサービスプリンシパル名（SPN）が設定されたアカウントは、パスワードの複雑性が低いことが多く、狙われやすいです。

攻撃者は侵入先のドメインの中でユーザーアカウントをリストアップするためにLDAPやPowerShellを利用し、特権を持つアカウント（例：SQL Server管理者）をターゲットにします。攻撃ツールを使用して一度に多くのチケットを要求し、その後これを解析します。この手法は通常の業務の通信の中に隠れて行われるため、検知が難しいという特性があります。

暗号学的脆弱性

Kerberoastingの成功は、チケットの暗号化方式やパスワードの強度に依存しています。RC4は脆弱であり、解析が容易です。逆に、AES-128または256ビットの暗号化は強いものの、使われるパスワードが脆弱であれば解析される危険性もあります。マイクロソフトは今後のWindows Server 2025以降でRC4を無効化する方針を示していますが、既存の環境では残存している場合が多いため、注意が必要です。

被害

最近の調査によると、アイデンティティを狙った攻撃が急増しており、Kerberoastingも含めた攻撃の件数が前年よりも著しく増加しています。製造業やインフラ企業が多く狙われており、金銭的な利益を追求する犯罪集団や国家支援のAPTグループもこの手法を用いています。

検知

攻撃の検知には、Windowsセキュリティイベントログの特定のイベントID（4769）を監視する必要があります。特に、短時間に大量のチケット要求が行われたり、RC4の使用が認められる場合は警戒が必要です。機械学習を用いた行動分析によって、不審なアクセスを検出する方法も提案されています。

対策

Kerberoastingの脅威を軽減するためには包括的な対策が求められます。具体的には、RC4の無効化やパスワード管理の徹底、自動的なパスワードの更新などが挙げられます。また、デバイスやサーバーへのパッチ適用を徹底することもシステムへの侵入を防ぐ上で重要です。要するに、Kerberoastingに対処するにはしっかりとしたセキュリティ対策を講じ、攻撃者に対しての防御を強化することが不可欠です。

もう一度検索