MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?アカウントパスワードを推測し窃取

Microsoftは、Active Directoryの認証情報を盗むことを目的としたサイバー攻撃、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。

» 2024年10月28日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Microsoftは2024年10月11日(米国時間)、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。Microsoftは以下のように説明している。

Kerberoastingとは?

 Kerberoasting攻撃とは、Kerberos認証プロトコルを標的とし、Active Directory(AD)の認証情報を盗むことを目的としたサイバー攻撃だ。Kerberosプロトコルは、アカウントパスワードから派生したキーを使用して、暗号化された「サービスチケット」と呼ばれるタイプのメッセージでユーザー認証状態を伝える。AD認証情報を持つユーザーは、AD内のどのサービスアカウントに対してもチケットを要求できる。

 Kerberoastingを悪用したサイバー攻撃では、ADユーザーアカウントを乗っ取った攻撃者が、他のアカウントに対するチケットを要求し、オフラインブルートフォース攻撃を実行し、アカウントパスワードを推測し窃取する。攻撃者がサービスアカウントの認証情報を入手すると、環境内でより多く権限を取得する可能性がある。

 ADは、サービスプリンシパル名(SPN)が登録されたアカウントに対してのみサービスチケットを発行、暗号化する。SPNは、アカウントが通常のユーザーアカウントではなく、サービスアカウントであり、「Microsoft SQL Server」などのサービスをホストまたは実行するために使用されるべきであることを示す。Kerberoastingでは暗号化されたサービスチケットにアクセスする必要があるため、ADにSPNがあるアカウントのみを標的とすることができる。

 通常、SPNは一般のユーザーアカウントには割り当てられないため、これらのアカウントはKerberoastingに対して保護が強化されている。ADマシンアカウントとして実行されるサービスは、単独のサービスアカウントとして実行されるものよりもKerberoastingによる侵害に対して安全といえる。ADマシンアカウントの認証情報は長くランダムに生成されるため、ブルートフォース攻撃を事実上無効にできる。

 Kerberoastingに最も脆弱(ぜいじゃく)なアカウントは、弱いパスワードを持つもの、特に「RC4」などの弱い暗号化アルゴリズムを使用しているものである。RC4は非推奨となり、Windows 11 24H2およびWindows Server 2025への将来のアップデートでは、デフォルトで無効化を予定している。

Kerberoastingを検知するには

 管理者は、以下の方法でネットワーク内でのKerberoasting攻撃を検知することができる。

  • 異常なKerberos暗号化タイプを使用したチケット要求をチェックする
    • 攻撃者は、Kerberosチケットの暗号化をRC4にダウングレードし得る。これはRC4のクラッキングの方がはるかに速く実行できるためだ
  • 「Microsoft Defender」からのアラートを確認する
  • 繰り返しサービスチケット要求がないかどうか確認する
    • 特定のユーザーが短時間でKerberoastingに脆弱な複数のアカウントに対してサービスチケットを要求していないかどうか確認する

Kerberoastingの防止に役立つ推奨事項

 Kerberoastingからの攻撃に対して環境を強化するために、IT管理者に以下の手順を実施することを推奨している。

可能な限りグループ管理サービスアカウント(gMSA)や委任管理サービスアカウント(dMSA)を使用する

 これらのアカウントは、集中管理された認証情報管理と強化されたセキュリティが必要なマルチサーバアプリケーションに最適だ。例えば、「IIS((Internet Information Services)」やSQL Server、ドメインに参加しているWindowsサービスなどで使用される。

 グループ管理サービスアカウント(gMSA)は、自動パスワード管理と簡素化されたSPN処理により、複数のサーバやサービスが同じアカウントを使用できるADアカウントの最新版だ。gMSAのパスワードは120文字の複雑なランダム生成であり、既知の手法によるブルートフォース攻撃に対して非常に強力な耐性を持っている。

 委任管理サービスアカウント(dMSA)は、Windows Server 2025で利用可能な管理サービスアカウントの最新版だ。gMSAと同様に、アカウントを使用できるマシンを制限し、Keberoastingに対してパスワード軽減策を提供する。ただし、gMSAとは異なり、dMSAは単独のサービスアカウントからのシームレスな移行をサポートしており、パスワードの移行が可能だ。また、Credential Guardと統合するオプションがあり、dMSAを使用するサーバが侵害されても、サービスアカウントの認証情報は保護される。

顧客がgMSAやdMSAを使用できない場合はサービスアカウントに対してランダムに生成された長いパスワードを手動で設定する

 サービスアカウント管理者は、少なくとも14文字以上のパスワードを設定する必要がある。可能であれば、さらに長いパスワードをランダムに生成し、サービスアカウントの保護を強化することを推奨する。この推奨事項は通常のユーザーアカウントにも適用される。

 よく使用されるパスワードを禁止し、サービスアカウントのパスワードを監査して、弱いパスワードを使用しているアカウントのインベントリを特定し、修正できるようにする。

全てのサービスアカウントがKerberosサービスチケットの暗号化にAES(128bitおよび256bit)を使用するように設定されていることを確認する

 サービスアカウントの暗号化タイプをAESに更新した後、パスワードを変更して、AESを使用して暗号化されていることを確認する。暗号化タイプ更新後にパスワードを変更しないと、アカウントは依然としてKerberoastingに脆弱なままとなる可能性がある。

 Windows 11 24H2およびWindows Server 2025の今後の更新では、RC4暗号化をデフォルトで無効にする予定だ。これらの更新がない環境では、RC4暗号化タイプを手動で無効にすることを推奨する。

SPNを持つユーザーアカウントを監査する

 SPNを持つユーザーアカウントは監査されるべきだ。不要なアカウントからはSPNを削除し、サイバー攻撃の対象となる範囲を減らす必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。