SCIMプロビジョニングは、多くのクラウドサービスや
サイバーセキュリティにおけるチケットとは、ユーザーを認証するために使用される一連の認証情報です。 シルバーチケットとは、不正ユーザーが生成する偽造チケットのことです。 脅威アクターは、この偽造シルバーチケットを使用して、Kerberos認証システムの弱点を悪用したサイバー攻撃を開始できます。 このシステムでは、チケット付与サービス(TGS)が認証トークンとして働き、許可されたユーザーに特定のサービスへのアクセスを許可します。 成功した場合、攻撃者は偽造されたシルバーチケットを使用してサービスアカウントになりすまし、ネットワークリソースへのアクセスを取得します。
シルバーチケット攻撃とゴールデンチケット攻撃:その違いとは?
ゴールデンチケットは、なりすました人物の認証チケットを偽造してアクセスを取得するサイバー攻撃でも使用されます。 しかし、ゴールデンチケットはシルバーチケットのように特定のサービスになりすますのではなく、ドメインコントローラー全体になりすまします。 これは、不正ユーザーがゴールデンチケットを手にした場合、ドメイン内のサービスへのより広範なアクセスが可能であることを意味します。
シルバーチケットとゴールドチケットは、どちらもKerberos認証プロトコルを悪用する偽造チケットの一種です。 これら2つの主な違いは、不正ユーザーが取得するアクセスレベルにあります。
シルバーチケット攻撃の仕組み
攻撃者がシルバーチケット攻撃を実行するために取る5つのステップは、以下の通りです。
1. 攻撃者がアカウントを侵害する:シルバーチケット攻撃を発生させるには、攻撃者が許可されたユーザーのアカウントにアクセスする必要があります。 攻撃者は、ブルートフォース攻撃やフィッシング、またはマルウェアを介して脆弱なパスワードを解読することで、アカウントを侵害することができます。
2. 攻撃者がサービス情報を抽出する:攻撃者がネットワークに侵入すると、セキュリティ識別子(SID)やドメインネームシステム(DNS)などの貴重なサービス情報を探します。
3. 攻撃者がNTLMハッシュを取得する:NTLMハッシュは、なりすましユーザーのパスワードから取得され、偽造されたサービスチケットを暗号化および復号化するキーです。 攻撃者は、kerberoastingとも呼ばれるオフラインクラッキングを介して、NTLMハッシュを取得できます。
4. 攻撃者がチケットを偽造する:攻撃者は、NTLMハッシュを使用して有効なチケット付与サービスを偽造し、特定のサービスに自らを認証します。
5. 攻撃者がアクセスを取得し、悪用する:攻撃者がチケットの偽造に成功すると、サービスへのフルアクセスを得ます。 ほとんどの場合、攻撃者はそこで停止することなく、ネットワーク内でラテラル(横)に移動します。
シルバーチケット攻撃を防ぐ方法
シルバーチケット攻撃を防ぐために役立つ4つのヒントを紹介します。
最小特権の原則 (PoLP) に従う
最小特権の原則は、ユーザーやシステムに作業に必要なだけのリソースへのアクセスを許可することを支持する、サイバーセキュリティの基本的な原則です。 組織がPoLPに従い、アクセス権を制限すると、サイバー犯罪者がネットワークを侵害した場合の特権を強化する範囲を縮小します。
強力なパスワードを使用する
シルバーチケット攻撃は、攻撃者が組織に関連する許可されたアカウントを侵害しなければ発生しません。 すべての従業員アカウントは、強力でユニークなパスワードで保護され、簡単に推測したり、解読したりできないようにする必要があります。 組織が従業員向けのパスワード慣行を監督する最善の方法は、ビジネス向けパスワードマネージャーに投資することです。 パスワードマネージャーは、IT管理者が従業員のパスワード慣行を可視化し制御することを可能にするため、組織はパスワード関連の攻撃に対してより適切に保護されます。
多要素認証(MFA)
多要素認証は、ユーザーに対しユーザー名やパスワードに加えて、他の認証方法を使用して身元を確認することを要求することで、アカウントに追加のセキュリティレイヤーを加えます。 このセキュリティ対策によりアカウントの侵害がより困難になるため、組織はMFAの使用を強制する必要があります。 Microsoftが実施した調査によると、MFAを有効にすることで、アカウント侵害攻撃の99.9%以上をブロックできることがわかりました。
認証トラフィックを監視する
組織のネットワークの認証トラフィックを定期的に監視し、監督することは、積極的な対策といえます。 この慣行により、組織はさらなる被害が発生する前に異常なアクティビティを早期に検出し、軽減することができます。
KeeperPAM™でシルバーチケット攻撃から組織を保護する
特権アクセス管理(PAM)ソリューションは、特権アカウントを管理および制御することで、組織がシルバーチケット攻撃から身を守るのに役立ちます。 PAMは、特権アカウントを保護するための堅牢なツールを管理者に提供するため、脅威アクターが特権アカウントにアクセスする可能性を軽減します。
KeeperPAMは、ゼロ知識およびゼロトラストのアーキテクチャを介して、最小特権アクセスと堅牢なセキュリティを実装するソリューションです。KeeperPAMは、Keeperパスワードマネージャー(KPM)、Keeperシークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)の3つの不可欠なアイデンティティおよびアクセス管理(IAM)ソリューションを組み合わせたものです。 これらは共に、特権アカウントに対する可視性とセキュリティを提供することで、組織の攻撃対象領域を縮小します。
まずは、KeeperPAMのデモをリクエストしてお試しください。