ゴールデンチケット攻撃は、脅威アクターがMicrosoft Active Directory（AD）に保存されているユーザーデータにアクセスすることにより、組織のドメイン（デバイス、ファイル、ドメインコントローラーなど）に、ほぼ無制限にアクセスしようとする悪意のあるサイバーセキュリティ攻撃です。この攻撃はADへのアクセスに使用されるKerberosアイデンティティ認証プロトコルの弱点を悪用し、攻撃者が通常の認証をバイパスできるようにします。

クラウドとリモートファーストの両方に移行する企業が増えるにつれて、攻撃対象領域は従来の境界を超えて拡大し、従業員は自分のデバイスとネットワークを使用して会社のシステムにログインするようになっています。これにより、攻撃者がネットワークに侵入し、ゴールデンチケット攻撃を使用してアクセスできるリスクが高まります。

ゴールデンチケット攻撃の歴史とは？

ゴールデンチケット攻撃は、Microsoft Windowsの欠陥を示す方法として2011年に作成されたオープンソースツールであるMimikatzと結び付いています。それは、ユーザー名、パスワード、ハッシュ、Kerberosチケットなどの認証情報を抽出します。ゴールデンチケット攻撃は、Kerberos認証プロトコルの脆弱性を悪用することから、そのように名付けられました。名前の由来となった本や映画の 『チャーリーとチョコレート工場』のように、攻撃は無制限のアクセスを許可するゴールデンチケットによって行われますが、厳重に保護されたキャンディー工場と異なり、企業のサイバーセキュリティをすり抜けて、そのリソース、ファイル、コンピューター、およびドメインコントローラーにアクセスします。

ゴールデンチケット攻撃はどのように機能しますか？

通常、Kerberos認証では、キー配布センターを使用してユーザーのIDを保護および検証します。このシステムでは、ユーザーへの複数の認証情報要求の必要性を排除し、代わりにユーザーのIDを検証し、アクセス用のチケットをユーザーに割り当てます。配布センターには、ユーザーをサービスサーバーに接続するチケット認可サーバー（TGS）があります。Kerberosデータベースには、検証済みのすべてのユーザーのパスワードが含まれています。認証サーバー（AS）は、ユーザーの初期認証を実行します。ASが検証されると、ユーザーは認証の証明であるKerberosチケット認可チケット（TGT）を取得します。

攻撃者はどのようにしてゴールデンチケット攻撃を実行しますか？

攻撃者がゴールデンチケット攻撃を実行するには、完全修飾ドメイン名、ドメインのセキュリティ識別子、KRBTGTパスワードハッシュ、アクセス対象アカウントのユーザー名が必要です。以下の手順では、攻撃者がこの情報を取得する方法と、攻撃を実行する方法について詳しく説明します。

ステップ1. 調査する：攻撃者はシステムにアクセスできる必要があります。多くの場合、フィッシングEメールが最初にシステムにアクセスするために使用されます。その後、攻撃者はドメイン名などの情報を調査し収集します。

ステップ2. アクセス権を盗む：攻撃者は、ドメインコントローラーにアクセスした後、アクティブディレクトリキー配布サービスアカウント（KRBTGT）のNTLMハッシュを盗みます。他の認証情報の盗難攻撃とは異なり、この攻撃では攻撃者がパスワードを解読する必要がないため、Pass-the-Hash（PtH）などの手法が使用される可能性があります。

ステップ3. 攻撃を起動する：攻撃者がKRBTGTのパスワードを取得すると、TGTを取得してドメインコントローラーへのアクセスを許可し、サーバーのIDを特定できます。またTGTは、攻撃者にリソースへの無制限のアクセスを許可して、他のユーザーにドメイン関連のタスクを割り当て、チケットを作成できるようにします。

ステップ4. アクセスを保持する：チケットは最大10年間有効にすることができ、このタイプの攻撃は検出されないことがよくあります。一般に、攻撃者は、検知をさらに回避するために、チケットの有効期間を短く設定します。

ゴールデンチケット攻撃の検知方法

ゴールデンチケット攻撃の可能性を検出できるよう、組織が用意しておく必要のあるプロセスは複数あります。ステップ2でアクセス権を取得した後、攻撃者は将来の攻撃のためにログイン認証情報を取得できます。以前に発見された顧客情報および従業員情報と組み合わせた自動化ツールを使用して、アクティブなアカウントを検索します。Kerberosが事前認証なしでTGT要求を送信すると、ログイン認証情報が有効かどうかに応じて異なるメッセージが返されます。攻撃者はこれを利用して、将来の攻撃で有効な認証情報を悪用します。セキュリティチームは、事前認証なしで1つのソースから要求された複数のチケットを探すことができます。

ゴールデンチケット攻撃の検知をXDRはどのように支援しますか？

拡張された検知と対応（XDR）ソリューションは、組織のテクノロジースタック全体のツールから脅威データを収集し、脅威ハンティングと対応プロセスを促進させることができます。XDRソリューションは、すべての検知と対応を1つのコマンドコンソールに統合することで、組織がテクノロジースタック全体からの統合された脅威データを使用してゴールデンチケット攻撃を迅速に検知できるようにします。

ゴールデンチケット攻撃を防ぐヒント

ゴールデンチケット攻撃を防ぐには、従来のいくつかのセキュリティを実践することが非常に重要です。ゴールデンチケット攻撃はポストエクスプロイト攻撃です。つまり、攻撃者が攻撃を実行する前に環境が侵害されている必要があるということです。以下のベストプラクティスを実践すると、攻撃者のアクセスを防ぐことができます。

ヒント1. Active Directoryの保護

エンドポイントやワークロードが侵害されると、企業全体で大規模な中断が発生する恐れがあります。ゼロトラスト（決して信頼せず、常に検証せよ）の適用により、ADとアイデンティティを保護することができ、データにアクセスする前にユーザーは常に検証され承認されます。

この攻撃では、ユーザーのアクセスを可視化することは不可欠です。最小特権の原則（POLP）により、ADを保護し、ゴールデンチケット攻撃を防御することができます。このセキュリティの概念により、ユーザーにはその業務に必要なアクセス権のみが付与されます。

Falcon Identity Threat Protectionなどのアイデンティティ保護で、組織のADを保護し、ADのセキュリティリスクを低減します。異常な振る舞いがないかADを継続的に監視し、すでに損害を受けていても攻撃に対応するのではなく、ゴールデンチケット攻撃を防ぐために不正なユーザーがアクセスしないようシステムを構成することが不可欠です。

ヒント2. 認証情報の窃盗阻止への注力

フィッシングメールのような攻撃は、ゴールデンチケット攻撃の実行方法の第一段階に含まれています。このため、スタッフがトレーニングを受けており、フィッシング行為を見つけ、攻撃者の初期アクセスを阻止できることを確認します。ITハイジーンツールを使用すると、すべての認証情報の安全が確保され、パスワードが定期的に変更されるため、システムが侵害された場合でも、攻撃を検知し阻止することができます。

ヒント3. 脅威ハンティング

人による脅威ハンティングでは、盗んだ認証情報を利用して正規ユーザーを装って実施される未知のステルス攻撃を24時間365日体制でハンティングすることができます。このタイプの攻撃はレーダーをかいくぐり、自動セキュリティツールによる検知から逃れることができます。ゴールデンチケット攻撃はセキュリティシステムに検知されずに進行するため、この攻撃を特定するには、人による脅威ハンティングが不可欠です。脅威ハンティングチームは、高度な持続的標的型攻撃（APT）攻撃者との日々の「白兵戦」から得た専門知識を活用して、毎日数百万もの巧みなハンティングリードを見つけて追跡し、それらが正当なものか悪意のあるものかを検証しながら必要に応じてお客様に警告しています。