Kerberoastingとは?

「Kerberoasting」攻撃とは、攻撃者がActive Directoryアカウントの認証情報を取得し、その認証情報を利用してデータを盗む手法です。「Kerberoasting」という単語は言葉遊びで、インターネットのような信頼性の低いネットワーク上のクライアントとサービス間の認証要求を安全に行うことを目的としたネットワーク認証プロトコルKerberosをもじったものです。

Kerberoasting攻撃中、脅威アクターは盗んだ認証情報を利用して暗号化されたメッセージを収集し、その後オフラインで復号します。Kerberoasting攻撃をかわすには、脅威アクターのアクセス(権限昇格)をより困難にすることも有効ですが、攻撃者は、たった1人のユーザーのアカウントを侵害するだけで認証情報にアクセスすることができてしまいます。

Kerberoasting攻撃が蔓延している理由

Kerberoasting攻撃では、システムが正当であるとみなすユーザーに対してアクセスが許可されるため、こうした攻撃は広く蔓延しています。漏洩したり盗難された認証情報の発見までにはタイムラグがあるため、脅威アクターがネットワークの正規ユーザーを装える時間が長くなるほど、そうした悪意ある個人やグループが好き勝手にデータにアクセスしたり窃盗を行うなどの時間が長くなります。

実際に、米国政府のCybersecurity Infrastructure and Security Agency(CISA)では、Kerberoastingは権限昇格させ、チェックをかわしてネットワーク全体を水平移動する最も時間効率の良い方法の1つであるとしています。

Kerberoasting攻撃の仕組み

Kerberos攻撃は、Kerberos認証プロトコルを利用して次のことを行います。

  • Active Directory(AD)をスキャンし、ユーザーの特定のアカウントへの認証に役立つ一意の識別子であるサービスプリンシパル名(SPN)を持つユーザーを検索
  • SPNを持つアカウントのサービスチケットをADにリクエスト
  • チケットを抽出してローカル/オフラインで保存
  • パスワード情報を取得することを目的にこれらのチケットをオフラインで復号化
  • 取得したパスワードと認証情報を使用して他のネットワークサービスに対する認証を行う
  • ネットワーク全体を水平移動し、しばらくの間、チェックをかわして重要なデータを盗み出す

Kerberoasting攻撃には、管理者アカウントや昇格された権限は必要ありません。実際、こうした攻撃が特に利用されている理由の1つには、すべてのアカウントがチケット許可サーバー(TGS)にサービスチケットを要求できるため、任意のドメインユーザーアカウントを使用できることが挙げられます。

攻撃者がユーザーのアカウントにアクセスすると、通常、そのドメイン内の任意のワークステーション(具体的には、Kerberos対応のサービスアカウントを要するサービスを実行している可能性のあるワークステーション)にログインできます。

攻撃者が高い権限を持つ人物になりすましている場合、水平展開や窃盗などの後続のアクションが、セキュリティ組織全体や企業全体の眼前で発生する可能性があります。実際、高度になりすましできるため、攻撃者が比較的短時間で捕らえられた場合であっても、企業は極めて大きな損害を被る可能性があります。

水平展開が野放しとなることは、どんな組織にとっても恐ろしいことです。そのため、こうした水面下で行われる、悪意のある危険な行動を早期に検出するセキュリティツールの重要性がこれまで以上に増しています。

Kerberoasting攻撃の例

Kerberoasting攻撃にはさまざまな実行方法があります。そのため、ここでは特に1つの侵害でどのような技術が使用されているかに着目してみましょう。

  • 脅威アクターは、アクセス権を取得したいアカウントを見つけるために偵察を行います。
  • 続いて、脅威アクターはパスワードデータ抽出のためにTGSにチケットを要求します。
  • その後のパスワードの復号化はオフラインで行われるため、攻撃者はかなり落ち着いて作業を進めることができます。
  • 攻撃者は、必要なパスワード/認証情報のセットを取得すると、TGSがアクセスできるネットワーク上のほぼすべてのシステムまたはリソースに対して認証を行い、通信を開始できます。
  • 認証後、脅威アクターはデータを侵害し、検出される(されないこともあります)までネットワーク内を水平展開することができます。

CISAによると、Kerberoastingはロシア国家が支援する高度な持続的脅威(APT)攻撃者が好んで使用する攻撃手法であり、犯人は上述のKerberoasting攻撃手法を実行しています。

Kerberoasting攻撃の検知と防止

攻撃者が適切に認証されたプロファイルでネットワークにアクセスできるようになると、理論的にはネットワーク内を簡単に水平展開できるようになります。データの窃盗がこのように巧妙に行われると、特に過検知アラートが常時表示されるような状況では、悪意のあるアクティビティの検知は難しくなります。

こうした過検知率の高さは、MITREの推奨事項を遵守するだけでは解決が難しい場合があります。これを克服して検知の精度を高めるには、さらに手順を踏む必要があります。Rapid7のInsightIDRは、過検知率の高さを次の方法で解決する上で役立ちます。

  • 機械学習(ML)を使用してユーザーアクティビティのベースラインを構築し、非典型的なリクエストパターンを特定
  • 極めて異常で潜在的に悪意のあるアクティビティに焦点を当てるための追加の検証レイヤーを提供
  • イベントの調査時間を短縮して効果的に調査するため、関連するすべてのユーザーコンテキストを考慮し、悪意がある可能性が最も高い信号に対するアラートを制限

Kerberoasting攻撃はさまざまな方法で阻止できます。ただし、特に重要な点は、組織全体で適切なパスワードの管理を徹底することです。ランダムに生成された認証情報を使用し、さらに昇格された権限を持つアカウントをできるだけ厳重にロックすることが重要です。

Kerberoasting攻撃への対処法

ここで、進行中のKerberoasting攻撃が検知された場合の適切な対応を詳しく紹介します。当然ながら、脅威アクターが適切な認証情報を持った個人になりすまして長期間アクセスし、大量のデータが盗まれる可能性があるという最悪のシナリオが簡単に想像できるでしょう。

落ち着いて、次の手順で適切な対応を始めます。

  • 攻撃への迅速な対処のために、検知・対応ベンダーと連携し、高度な専門知識を活用することを検討します。
  • すべてのアカウント認証情報を変更し、多要素認証(MFA)を有効にし、最小権限アクセス(LPA)を施行します。
  • ユーザーアカウントをグループ管理サービスアカウントに置き換えます。
  • ネットワークセキュリティの全体的なセキュリティポリシー設定を定義し、可能な限りリスクがないことを確認します。

MFAは、Kerberoasting攻撃を避ける比較的簡単な方法の1つで、複数のデバイス間で複数の認証形式を要求することで、攻撃の試行の大部分を撃退することができます。企業の立場から見ると、課題はMFAソフトウェアを従業員全体に普及させ、ビジネスを保護するためのこの重要な慣行を確実に導入することとなります。

こうした簡単なセキュリティチェックを実施することは常識のように思えます。しかし、MFAのような適切なパスワードや認証情報の管理が十分でない企業は、まだ世界中にたくさんあります。

Kerberoasting攻撃の要点

脅威アクターがKerberosのようなセキュリティプロトコルをデータ窃盗のためのツールに変えることができるというのは、残念で恐ろしいことです。ただこれは、このツールを捨てるべき理由にはなりません。実際、Kerberosは、安全でない環境でユーザーの安全を確保するための重要なツールです。

前述したように、脅威アクターを早期に阻止するための検知ツールを実装することは、この重要な認証プロトコルを安全に保つ上で効果的な対策です。例えば、Rapid7のInsightIDRは、ユーザーアクティビティのベースラインを継続的に作成できるため、不審なアクティビティをより簡単かつ迅速に検知できます。

また、ネットワーク境界を越えた検知に重要な外部の脅威インテリジェンスを活用することもできます。これには、ダークウェブの深部に最も近いネットワークエンドポイントが考慮されています。セキュリティ組織がKerberoastingやAPTアクターの阻止のためにどのような製品やソリューションを採用する場合であっても、現在は、従業員になりすましてネットワークに侵入することがこれまでになく簡単となっていることを考慮することが重要です。

こうしたなりすましによる侵入は、通常、窃取された認証情報を使って行われます。そのため、ユーザーおよびエンティティ行動分析(UEBA)を継続的に分析し、ネットワーク上のアクティビティを特定のユーザーに結び付けることが非常に重要です。ユーザーが通常とは異なる行動をとる場合、アナリストはそれを迅速に発見し、調査します。これは、故意または無意識に、ある種のリスクをもたらす実在の従業員である可能性もあります。

Kerberoastingの詳細を読む

Rapid7はAIを活用した新しい脅威検知でAIイノベーションを次のステップへ

Rapid7のソリューションで攻撃を特定する方法の詳細をご覧ください。