MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知／防御方法は？：アカウントパスワードを推測し窃取

Microsoftは、Active Directoryの認証情報を盗むことを目的としたサイバー攻撃、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。

[＠IT]

　Microsoftは2024年10月11日（米国時間）、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。Microsoftは以下のように説明している。

Kerberoastingとは？

　Kerberoasting攻撃とは、Kerberos認証プロトコルを標的とし、Active Directory（AD）の認証情報を盗むことを目的としたサイバー攻撃だ。Kerberosプロトコルは、アカウントパスワードから派生したキーを使用して、暗号化された「サービスチケット」と呼ばれるタイプのメッセージでユーザー認証状態を伝える。AD認証情報を持つユーザーは、AD内のどのサービスアカウントに対してもチケットを要求できる。

　Kerberoastingを悪用したサイバー攻撃では、ADユーザーアカウントを乗っ取った攻撃者が、他のアカウントに対するチケットを要求し、オフラインブルートフォース攻撃を実行し、アカウントパスワードを推測し窃取する。攻撃者がサービスアカウントの認証情報を入手すると、環境内でより多く権限を取得する可能性がある。

　ADは、サービスプリンシパル名（SPN）が登録されたアカウントに対してのみサービスチケットを発行、暗号化する。SPNは、アカウントが通常のユーザーアカウントではなく、サービスアカウントであり、「Microsoft SQL Server」などのサービスをホストまたは実行するために使用されるべきであることを示す。Kerberoastingでは暗号化されたサービスチケットにアクセスする必要があるため、ADにSPNがあるアカウントのみを標的とすることができる。

　通常、SPNは一般のユーザーアカウントには割り当てられないため、これらのアカウントはKerberoastingに対して保護が強化されている。ADマシンアカウントとして実行されるサービスは、単独のサービスアカウントとして実行されるものよりもKerberoastingによる侵害に対して安全といえる。ADマシンアカウントの認証情報は長くランダムに生成されるため、ブルートフォース攻撃を事実上無効にできる。

　Kerberoastingに最も脆弱（ぜいじゃく）なアカウントは、弱いパスワードを持つもの、特に「RC4」などの弱い暗号化アルゴリズムを使用しているものである。RC4は非推奨となり、Windows 11 24H2およびWindows Server 2025への将来のアップデートでは、デフォルトで無効化を予定している。

Kerberoastingを検知するには