最新のシステムでは、パスワードがハッシュ形式で保存されます。攻撃者は、プレーンテキストのパスワードなしで、システムを盗んだハッシュを送信してプライベート・アプリケーションに認証することができます。パス・ザ・ハッシュ(PtH)攻撃では、ハッシュ値をプレーンテキストに強制するブルートフォース(総当たり)は必要ありません。攻撃者は、ユーザーの現在のセッションを使用するか、メモリからハッシュを取得します。通常はマルウェアから取得します。
パス・ザ・ハッシュ
パスワードが作成されると、オペレーティング・システムは暗号化された安全なハッシュを使用してそれらをメモリに保存します。ハッシュのデータベースは、ユーザー・プログラムにアクセスすることはできませんが、マルウェアは、セキュリティを回避し、これらのパスワードのメモリをスクレイピングするために作成されています。ユーザーが認証した後、パスワードがメモリに保存され、ユーザーは特定のマシンで動作するアプリケーションに対して認証できるようになります。
パス・ザ・ハッシュ攻撃は、認証されたユーザー・ハッシュを取得し、ユーザー・アカウントのコンテキストで機密データやアプリケーションにアクセスするために使用します。PtH 攻撃は、基本的にユーザーになりすまし、Kerberos のような承認プロトコルを利用します。Kerberos は、承認ユーザーに割り当てられたチケットを作成するために使用されます。チケットはシステムにアクセスを許可するように指示します。したがって、ユーザーのハッシュを使用すると、攻撃者は通常マルウェアの形で、標的のアプリケーションにアクセスすることもできます。
パス・ザ・ハッシュ攻撃の仕組み
攻撃者はまず、ハッシュを取得する必要があります。これは通常、マルウェアを介して行われます。マルウェアは、ドライブバイ・ダウンロードやフィッシングを使用してターゲットに配信され、高い権限のユーザーがシステムにインストールするように騙されることがあります。攻撃者にとっては、システムへの管理者アクセス権を持つユーザーがマルウェアをインストールするのが理想的です。マルウェアは、アクティブなユーザー・アカウントとそのハッシュのためにメモリをスクレイピングします。
ハッシュを使用すると、マルウェアはネットワークを横切って移動し、認証されたユーザーになりすまします。ほとんどの PtH 攻撃は、シングル・サインオン(SSO)システムで動作し、同じユーザー資格情報で複数のシステムでアカウントを認証します。ターゲット・システムはユーザーの認証情報を検証するかもしれませんが、盗まれたハッシュがこの問題を解決します。その後、マルウェアは、盗まれたハッシュの対応するユーザー・アカウントとして、任意のシステムまたはデータにアクセスできます。
一般的なターゲットと脆弱性
Windows マシンは、PtH 攻撃の最も一般的なターゲットです。Windows では、New Technology LAN Manager(NTLM)は、複数のネットワーク・アプリケーション間でユーザーを認証するために使用される Microsoft セキュリティ・プロトコルです。NTLM はソルト(ハッシュに対するブルートフォース攻撃をブロックするためにパスワードに付加されるランダムな文字列)を用いず、ユーザーのパスワードをハッシュとして保存するため、PtH 攻撃に対して脆弱です。攻撃者は、侵害されたシステムからこれらのハッシュを容易にキャプチャし、元のパスワードを知ることなくユーザーとして認証に使用できます。これにより、パスワードを解読することなく、ハッシュを使用して他のシステムやリソースにアクセスできるようになります。これにより、NTLM は認証情報の窃盗攻撃の主要なターゲットとなります。
NTLM は、古い Windows オペレーティング・システムでも下位互換性があるため、ドメイン・コントローラの新しいバージョンは PtH に対して脆弱である可能性があります。Windows オペレーティング・システムおよびサービスは、NTLM との下位互換性を使用する場合、PtH に対して脆弱です。2022 年には、Windows サーバーがマルウェアや PtH によって侵害された後に、Microsoft Exchange サーバーがラテラル・ムーブメント(水平移動)によって侵害されました。
パス・ザ・ハッシュ攻撃の影響
監視、マルウェア対策ソフトウェア、侵入検知がなければ、PtH 攻撃が数か月続く可能性があります。ラテラル・システムへの認証は、正規の認証情報を使用して実行されるため、シンプルな認証と承認の監視が実施されている場合、攻撃は認識されません。PtH による影響は、ハッシュの承認によって異なります。
高い権限を持つユーザーから盗まれたハッシュは、機密情報へのアクセスを許可し、大規模なデータ漏えいにつながる可能性があります。マルウェアは、リモートの攻撃者にローカル・システムへのアクセスを与えたり、データを盗んでサードパーティのサーバーに送信する可能性があります。データが盗まれた場合、マルウェアの封じ込めや排除に多額の費用がかかるコンプライアンス違反の罰金や訴訟が課せられる可能性があります。
予防と軽減戦略
ジョブの実行に必要なデータやアプリケーションのみに制限することは、PtH 攻撃による損害を軽減するための第一歩です。最小権限の原則に従うと、マルウェアが含まれ、環境の全ての領域にアクセスできなくなります。ユーザーは、フィッシングや潜在的なマルウェアを認識して、悪意のある電子メールや Web サイトに起因するインシデントを減らすためのトレーニングを受ける必要があります。ネットワーク・アーキテクチャをセグメント化して階層化することで、セキュリティの低いシステムによるセキュリティ侵害から重要なシステムを保護します。
侵入検知および監視システムは、PtH からの潜在的な脅威を特定する上で有益です。マルウェアがローカル・マシンにインストールされた場合、侵入検知は疑わしいトラフィック・パターンを識別します。また、不要な場合は NTLM を無効にすると、一部のマルウェアはハッシュの窃取に効果的ではありません。
防衛のためのツールと技術
Windows には、パス・ザ・ハッシュ攻撃を防止するためのツールがいくつかあります。Credential Guard は、ハッシュを分離し、マルウェアやその他のメモリ・スクレーパーに対する障壁となります。また、Windows には、既知の脅威を特定し、インストールを停止するマルウェア対策アプリケーションが内蔵されています。
Microsoft は、管理者に一意のパスワードを強制するローカル管理者パスワード・ソリューション(LAPS)を提供しています。ネットワーク環境全体で同じパスワードを使用している管理者は、単一のハッシュが盗まれた後に、同じパスワードを持つ全てのシステムを侵害にさらします。ユーザー資格情報と Active Directory を監査することで、権限が多すぎるアカウントや不正アクセスの可能性があるアカウントを特定することができます。
まとめ
マルウェアの侵入を防ぐことは、PtH を含むあらゆる脅威から環境を守るための第一歩です。フィッシングの危険性をユーザーに認識させ、未知のソースからソフトウェアをダウンロードすることの危険性について高い権限を持つユーザーを教育します。Windows で作業する場合は NTLM の使用を避けてください。ただし、攻撃者がセキュリティを迂回した場合、PtH マルウェアがデータを盗むのを防ぐために、マルウェア対策ソフトウェアを必ずインストールしてください。
ピュア・ストレージは、PtH 攻撃を受けた環境向けに、データ・リカバリを支援するリカバリとレジリエンス・ソリューションを提供しています。SafeMode スナップショットの詳細と、リスクを軽減する方法についてご覧ください。
