Kerberoasting は、Kerberos (ケルベロス) 認証プロトコルを使用するサービスアカウントを標的にするサイバー攻撃の一形態です。 攻撃者は、認証プロトコルを悪用してパスワードハッシュを抽出し、アカウントに添付された平文のパスワードを解読します。 このような攻撃が蔓延しているのは、攻撃への気づきや軽減が困難なためです。 Kerberoasting は、検出および防止テクニックを実装していない場合、サイバー犯罪者が高度な特権アカウントを侵害し、将来的なアクセスの承認を設定する可能性があるため、深刻な脅威となります。
ここでは、Kerberoasting 攻撃と、その攻撃からアカウントを保護する方法について、さらに詳しく説明します。
Kerberos とは?
Kerberoasting 攻撃とは何かを理解する前に、まず Kerberos とは何か、そしてその仕組みを理解する必要があります。Kerberos は、チケット付与サービスを通じてユーザーの正当性を確認するために設計された、コンピュータネットワーク認証プロトコルです。 このシステムは、クライアント、サーバー、鍵配布センター (KDC) の 3 つの主要なエンティティで構成されています。
Kerberos は、Windows Active Directory (AD) 環境で、広く使用されている内蔵プロトコルです。 また、Apple macOS、Linux、FreeBSD など、他の一般的なオペレーティングシステムでも使用されています。
Kerberoasting 攻撃は、どのように機能しますか?
Kerberoasting 攻撃の内部プロセスを理解することは、防止テクニックを実行に移す上で重要です。 ここでは、攻撃者がサービスアカウントに侵入するために取る典型的な手順をご紹介します。
1. アカウントを侵害する
攻撃者が最初に行うことは、サービスプリンシパル名 (SPN) に関連付けられた脆弱なサービスアカウントを標的にすることであり、これはユーザーが特定のアカウントにアクセスできるようにするユニークな識別です。 攻撃者が特に SPN を狙うのは、Kerberos 認証がクライアントへのサービスを容易にするために SPN を厳密に使用するためです。
2. 複数のチケットを要求する
その後、攻撃者は、侵害されたアカウントを悪用し、そのアカウントのユーザーになりすまして、ネットワークにアクセスできるユーザーを制御するドメインである鍵配布センター (KDC) に多数のチケットを要求します。
3. パスワードとブルートフォース攻撃を復号化する
攻撃者は、チケット付与サービス (TGS) からチケットを受信すると、それを抽出し、さまざまなオフラインツールやテクニックを使用してパスワードを復号化します。ブルートフォース攻撃の手口は、パスワードハッシュを解読するためによく使用されます。 この方法では、正しいパスワードが見つかるまで、何度もパスワードの組み合わせを入力します。
4. サーバーへのフルアクセス
攻撃者がアカウントへの侵入に成功すると、攻撃者はすべてのネットワーク、リソース、情報、データにアクセスできるようになります。 ほとんどの場合、攻撃者は、より高いアカウント権限を自分に付与し、センシティブデータにアクセスしたり、悪意のあるアクションを実行したり、今後のアクセスのためにバックドアを設定したりすることができます。
Kerberoasting を検知する方法
Kerberoasting 攻撃をできるだけ早く検知することで、被害を最小限に抑えることができます。 ここでは、Kerberoasting 攻撃を示唆する 2 つの兆候を紹介します。
RC4 暗号化
RC4 暗号化は、そのシンプルさとスピードから、最も一般的なストリーム暗号の 1 つです。 攻撃者は通常、このテクニックを駆使してデータを暗号化し、ブルートフォース攻撃を実行します。 そのため、RC4 暗号化アルゴリズムを使用して暗号化されたチケット要求を受信した場合、まず最初に取るべき措置は、Kerberos 認証で RC4 の使用を直ちに無効にすることです。
TGS リクエストが異常に多い
もしチケット付与サービスのリクエストが異常なほど多い場合は、すぐに調査する必要があります。 良いプラクティスとは、異常なリクエスト量のベースラインを確立することです。 これにより、全体としてより良い構造と安全性が実現されます。
Kerberoasting から身を守る方法
Kerberoasting 攻撃は脅威に思えるかもしれませんが、心配する必要はありません。攻撃から自分自身と組織を保護する方法はいくつかあります。 このような攻撃を回避するための 5 つのベストプラクティスをご紹介します。
強力なパスワードを作成する
Kerberoasting を防ぐ最も簡単で効果的な方法の 1 つは、強力なパスワードを使用することです。これは、パスワードは通常、サイバー攻撃の最初のターゲットだからです。 強固な基盤バリアがあることで、攻撃者が攻撃することが難しくなり、組織の脆弱性が軽減されます。 強力なパスワードは、ユニークで、複雑で、長いものでなければなりません。 個人情報や一般的な続きの数字や文字を含む単純なパスワードを使用することは、覚えやすいかもしれませんが、脆弱なパスワードと見なされます。 脆弱なパスワードは簡単に解読され、ハッキングされるリスクが高まります。
強力なパスワードには、数字、文字、記号のランダムな組み合わせを含める必要があります。 パスワードマネージャーの使用を検討しましょう。パスワードマネージャーは、すべてのパスワードを1か所で生成し、安全に保存することで、アカウントが侵害されるのを防ぐように設計されたツールです。
MFA を有効にする
多要素認証 (MFA) は、ユーザーにユーザー名とパスワードに加えて追加情報の入力を要求するセキュリティの追加レイヤーです。 身元を証明するためのこの追加手順により、セキュリティ侵害の全体的なリスクが軽減されます。 認証要素には、ワンタイムコード、生体認証、地理的位置、セキュリティ質問など、いくつかの種類があります。 多くの人が脆弱なパスワードを使用しているため、MFA を有効にすることは、アカウントを安全に保つための追加措置です。
最小特権の原則 (PoLP) に従う
最小特権の原則に従うことは基本的な概念です。なぜなら、ユーザーがアクセスできるのは、必要不可欠なシステムリソースと機能だけに限定されるからです。 組織は、特定のアクセス権やアクセス許可を慎重に管理することで、侵害のリスクと、侵害が成功した場合の潜在的な影響を軽減します。
アイデンティティセキュリティ戦略
強力なアイデンティティおよびアクセス管理戦略は、組織を保護するのに役立つ包括的なフレームワークであり、標準的なプラクティスのセットです。 これには、許可された個人のみが組織のサービスにアクセスできることを保証するためのポリシーや手順を含めることができます。 この戦略にアプローチする一般的な方法の 1 つは、特権アクセス管理 (PAM) ソリューションを実装することです。 PAM ソリューションは、機密情報にアクセスできる組織の特権アカウントの制限と監視に重点を置いています。 PAM は、このような特権ユーザーを手動で管理する代わりに、より生産的でシンプルなソリューションを提供します。
Keeper で Kerberoasting 攻撃を回避する
脆弱なパスワードと監視の欠如により、Kerberoasting 攻撃者は簡単に重要なアカウントにアクセスし、組織に重大なダメージを与えることができます。 今日のサイバーセキュリティ環境では、Kerberoasting 攻撃から保護することは、機密情報を保存するために不可欠です。
Keeper の次世代 PAM ソリューション、KeeperPAM™ は、Enterprise Password Management (EPM)、Keeper Secrets Management (KSM)、Keeper Connection Management (KCM) を単一のプラットフォームに統合することで、組織がすべての特権ユーザーを追跡し、保護することを可能にします。
KeeperPAM が組織を Kerberoasting 攻撃から保護する方法を確認するには、今すぐデモをリクエストしてください。