7種類のアイデンティティベース攻撃

侵害全体のうち80%で漏洩したアイデンティティが使用されており、特定までに最長で250日かかるということをご存じでしょうか。

残念ながら、アイデンティティを使用した攻撃は、検出が非常に困難です。正規ユーザーの認証情報が侵害され、攻撃者がそのユーザーになりすましている場合、ユーザーの通常の振る舞いとハッカーの振る舞いを、従来型のセキュリティ対策とツールを使用して区別することは、多くの場合、非常に困難です。

アイデンティティ脅威の状況をよりよく理解するために、一般的な7種類のアイデンティティベースの攻撃とその動作方法について説明しましょう。

アイデンティティベースの攻撃の種類

1. クレデンシャルスタッフィング

クレデンシャルスタッフィングとは、サイバー犯罪者が、あるシステムから盗み出したログイン用の認証情報を使用して無関係のシステムにアクセスしようとするサイバー攻撃です。

クレデンシャルスタッフィング攻撃の実行手順は、比較的単純です。最初に、攻撃者は盗んだアカウントの認証情報を利用するか、侵害された認証情報をダークウェブで購入します。認証情報を手に入れた攻撃者は、次にボットネットまたはその他の自動化ツールをセットアップして、関連のない複数アカウントへの同時ログインを試行します。ボットは次に、セカンダリサービスまたはアカウントのいずれかでアクセスが許可されたか確認します。ログインの試行が成功すると、攻撃者は個人データ、保存されているクレジットカード情報、銀行の詳細などの追加情報を収集します。

2. ゴールデンチケット攻撃

ゴールデンチケット攻撃とは、Microsoft Active Directory（AD）に格納されているユーザーデータにアクセスすることで、組織のドメインにほぼ無制限にアクセスしようとする攻撃です。この攻撃はADへのアクセスに使用されるKerberosアイデンティティ認証プロトコルの弱点を悪用し、攻撃者が通常の認証をバイパスできるようにします。

攻撃者がゴールデンチケット攻撃を実行するには、完全修飾ドメイン名、ドメインのセキュリティ識別子、KRBTGTパスワードハッシュ、アクセス対象アカウントのユーザー名が必要です。

3. Kerberoasting

Kerberoastingは、AD内部にあるサービスアカウントのパスワードをクラッキングしようとする攻撃手法です。

このような攻撃では、攻撃者はサービスプリンシパル名（SPN）を持つアカウントユーザーになりすまし、暗号化されたパスワード（Kerberos）を含むチケットを要求します（SPNとは、AD内部でサービスとユーザーアカウントを結ぶ属性です）。次に、攻撃者はオフライン作業でパスワードハッシュをクラッキングします。多くの場合、ここではブルートフォース手法が使用されます。

サービスアカウントの平文認証情報が公開されると、攻撃者はユーザー認証情報を入手し、アカウント所有者になりすますことができるようになります。

4. 中間者（MITM）攻撃

中間者攻撃は、攻撃者が2人のユーザー、2つのシステム、または1人のユーザーと1つのシステムの間の通信を盗聴するタイプのサイバー攻撃です。

MITM攻撃の目的は、個人データ、パスワード、または銀行の詳細情報を収集したり、被害者に何らかのアクションを起こさせるように仕向ける（ログイン認証情報の変更、トランザクションの完了、資金移動の開始など）ことです。

5. Pass the Hash攻撃

Pass the Hash（PtH）は、攻撃者が「ハッシュされた」ユーザー認証情報を盗み、それを使用して同じネットワーク上に新しいユーザーセッションを作成するタイプの攻撃です。

通常、攻撃者はソーシャルエンジニアリングの手法を通じてネットワークにアクセスします。攻撃者はユーザーのアカウントにアクセスすると、さまざまなツールと手法を使用して、アクティブなメモリをスクレイピングして、ハッシュにつながるデータを入手します。

1つまたは複数の有効なパスワードハッシュを手に入れた攻撃者は、システムへのフルアクセスを獲得し、ネットワーク上でラテラルムーブメントができるようになります。攻撃者は、あるアプリケーションから次のアプリケーションへユーザーを偽装する際に、多くの場合ハッシュハーベスティングを実行します。これはシステム全体に追加のハッシュを蓄積することで、これを使用してアクセス可能なネットワーク領域を広げ、アカウント権限を追加し、特権アカウントを標的にして、バックドアやその他のゲートウェイを設定して将来アクセスできるようにします。

6. パスワードスプレー攻撃

パスワードスプレー攻撃は、ハッカーが複数のアカウントに対して1つの共通パスワードを使用するというブルートフォース手法です。

攻撃者は最初にユーザー名のリストを取得し、すべてのユーザー名に対して同じパスワードを使用してログインを試行します。攻撃者は、新しいパスワードでプロセスを繰り返し、標的の認証システムが侵害されてアカウントとシステムへのアクセスが可能になるまで続けます。

7. シルバーチケット攻撃

シルバーチケットは、攻撃者がアカウントのパスワードを盗んだときに作成されることが多い偽造認証チケットです。シルバーチケット攻撃は、この認証を使用して、サービスチケットを許可するチケットを偽造します。偽造したサービスチケットは暗号化され、シルバーチケット攻撃の標的となった特定のサービスのリソースにアクセスできます。

攻撃者は、偽造されたシルバーチケットを取得すると、標的のローカルシステムとしてコードを実行できます。その後、ローカルホスト上で権限を昇格させ、侵害した環境内でラテラルムーブメントを開始し、さらにはゴールデンチケットの作成まで行います。これにより、最初の標的だったサービスよりも多くの対象にアクセスできるようになります。これはサイバーセキュリティ防止対策を回避する戦術です。

クラウドストライクのアイデンティティ保護

CrowdStrike Falcon® Identity Threat Protection（ITP）を使用すると、高精度の脅威検知とアイデンティティベース攻撃のリアルタイム防止が可能になります。これは高度なAI、振る舞い分析、柔軟なポリシーエンジンを組み合わせてリスクベースの条件付きアクセスを強制します。

Falcon ITPは、統一されたリスクベースのポリシーを適用して、すべてのアイデンティティ認証を自動的にブロック、許可、監査またはステップアップし、同時に本物のユーザーに対してフリクションレスのログインエクスペリエンスを保証します。