Microsoftは、Active Directoryの認証情報を盗むことを目的としたサイバー攻撃、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftは2024年10月11日(米国時間)、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。Microsoftは以下のように説明している。
Kerberoasting攻撃とは、Kerberos認証プロトコルを標的とし、Active Directory(AD)の認証情報を盗むことを目的としたサイバー攻撃だ。Kerberosプロトコルは、アカウントパスワードから派生したキーを使用して、暗号化された「サービスチケット」と呼ばれるタイプのメッセージでユーザー認証状態を伝える。AD認証情報を持つユーザーは、AD内のどのサービスアカウントに対してもチケットを要求できる。
Kerberoastingを悪用したサイバー攻撃では、ADユーザーアカウントを乗っ取った攻撃者が、他のアカウントに対するチケットを要求し、オフラインブルートフォース攻撃を実行し、アカウントパスワードを推測し窃取する。攻撃者がサービスアカウントの認証情報を入手すると、環境内でより多く権限を取得する可能性がある。
ADは、サービスプリンシパル名(SPN)が登録されたアカウントに対してのみサービスチケットを発行、暗号化する。SPNは、アカウントが通常のユーザーアカウントではなく、サービスアカウントであり、「Microsoft SQL Server」などのサービスをホストまたは実行するために使用されるべきであることを示す。Kerberoastingでは暗号化されたサービスチケットにアクセスする必要があるため、ADにSPNがあるアカウントのみを標的とすることができる。
通常、SPNは一般のユーザーアカウントには割り当てられないため、これらのアカウントはKerberoastingに対して保護が強化されている。ADマシンアカウントとして実行されるサービスは、単独のサービスアカウントとして実行されるものよりもKerberoastingによる侵害に対して安全といえる。ADマシンアカウントの認証情報は長くランダムに生成されるため、ブルートフォース攻撃を事実上無効にできる。
Kerberoastingに最も脆弱(ぜいじゃく)なアカウントは、弱いパスワードを持つもの、特に「RC4」などの弱い暗号化アルゴリズムを使用しているものである。RC4は非推奨となり、Windows 11 24H2およびWindows Server 2025への将来のアップデートでは、デフォルトで無効化を予定している。
管理者は、以下の方法でネットワーク内でのKerberoasting攻撃を検知することができる。
Kerberoastingからの攻撃に対して環境を強化するために、IT管理者に以下の手順を実施することを推奨している。
これらのアカウントは、集中管理された認証情報管理と強化されたセキュリティが必要なマルチサーバアプリケーションに最適だ。例えば、「IIS((Internet Information Services)」やSQL Server、ドメインに参加しているWindowsサービスなどで使用される。
グループ管理サービスアカウント(gMSA)は、自動パスワード管理と簡素化されたSPN処理により、複数のサーバやサービスが同じアカウントを使用できるADアカウントの最新版だ。gMSAのパスワードは120文字の複雑なランダム生成であり、既知の手法によるブルートフォース攻撃に対して非常に強力な耐性を持っている。
委任管理サービスアカウント(dMSA)は、Windows Server 2025で利用可能な管理サービスアカウントの最新版だ。gMSAと同様に、アカウントを使用できるマシンを制限し、Keberoastingに対してパスワード軽減策を提供する。ただし、gMSAとは異なり、dMSAは単独のサービスアカウントからのシームレスな移行をサポートしており、パスワードの移行が可能だ。また、Credential Guardと統合するオプションがあり、dMSAを使用するサーバが侵害されても、サービスアカウントの認証情報は保護される。
サービスアカウント管理者は、少なくとも14文字以上のパスワードを設定する必要がある。可能であれば、さらに長いパスワードをランダムに生成し、サービスアカウントの保護を強化することを推奨する。この推奨事項は通常のユーザーアカウントにも適用される。
よく使用されるパスワードを禁止し、サービスアカウントのパスワードを監査して、弱いパスワードを使用しているアカウントのインベントリを特定し、修正できるようにする。
サービスアカウントの暗号化タイプをAESに更新した後、パスワードを変更して、AESを使用して暗号化されていることを確認する。暗号化タイプ更新後にパスワードを変更しないと、アカウントは依然としてKerberoastingに脆弱なままとなる可能性がある。
Windows 11 24H2およびWindows Server 2025の今後の更新では、RC4暗号化をデフォルトで無効にする予定だ。これらの更新がない環境では、RC4暗号化タイプを手動で無効にすることを推奨する。
SPNを持つユーザーアカウントは監査されるべきだ。不要なアカウントからはSPNを削除し、サイバー攻撃の対象となる範囲を減らす必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.