Pass-the-Hash(PtH)攻撃とは?
Pass-the-hash 攻撃とは、管理者からパスワードハッシュを盗み出し、それを使用してネットワーク全体から不正アクセスを行うサイバー攻撃の一種です。このタイプの攻撃では、ネットワークとそのシステム内のアクセスを拡大するために必要なのはパスワードハッシュだけなので、パスワード自体を盗んだりする必要性を取り除きます。
パスワードハッシュとは?
Pass-the-hash 攻撃の仕組みを理解するには、パスワードハッシュとは何かを理解する必要があります。パスワードハッシュ(英語文献のみ)とは、平文のパスワードを文字と数字のランダムな文字列に変換する一方向アルゴリズムのことです。
パスワードハッシュは、平文のパスワードをサーバーに保存しないようにすることで、セキュリティを強化します。パスワードハッシュを使用すると、エンドユーザーだけが平文のパスワードを知ることができます。
Pass-the-Hash 攻撃は
どのように機能する?
Pass-the-hash 攻撃は、サイバー犯罪者が管理者のマシンを侵害することから始まります。これは多くの場合、ソーシャルエンジニアリングの手法によって管理者のマシンをマルウェアに感染させることで行われます。例えば、管理者に添付ファイルやリンクをクリックするよう促すフィッシングメールが送信されることがあります。管理者がリンクや添付ファイルをクリックすると、知らぬ間にマルウェアがダウンロードされてしまいます。
マルウェアが管理者のマシンにインストールされると、サイバー犯罪者はマシンに保存されているパスワードハッシュを収集します。特権ユーザーのアカウントに属するパスワードハッシュが 1 つだけあれば、サイバー犯罪者はネットワークやシステムの認証プロトコルを迂回することができます。一旦サイバー犯罪者が認証を迂回すると、機密情報にアクセスしたり、ネットワーク上を横方向に移動して他の特権アカウントにアクセスしたりすることができてしまいます。
Pass-the-Hash 攻撃に
最も脆弱なのは誰か?
Windows マシンは、Windows New Technology Local Area Network Manager (NTLM) のハッシュに脆弱性があるため、Pass-the-hash 攻撃を最も受けやすくなっています。NTLM はマイクロソフトが提供するセキュリティプロトコルのセットで、シングルサインオン(SSO)ソリューションとして機能し、多くの組織が利用しています。
この NTLM の脆弱性により、脅威者は実際のパスワードを必要とすることなく、パスワードハッシュのみで、侵害されたドメインアカウントを利用することができてしまいます。
Pass-the-Hash 攻撃を軽減する方法
特権アクセス管理(PAM)ソリューションに投資する
特権アクセス管理とは、機密性の高いシステムやデータにアクセスできるアカウントを保護・管理することです。特権アカウントには、給与システム、IT 管理者アカウント、オペレーティング・システムなどがあります。
PAM ソリューションは、最小特権の原則(PoLP)を活用することで、特権アカウントへのアクセスの安全性と管理を支援します。PoLP はサイバーセキュリティの概念であり、ユーザーに与えられるのは業務に必要なデータやシステムへのアクセス権だけであり、それ以上でもそれ以下でもないというものです。PAM ソリューションを導入することで、企業はロールベースのアクセス制御(RBAC)を通じて、ユーザーに必要なアカウントへのアクセス権のみを確実に与えることができます。また、強固なパスワードと多要素認証(MFA)の使用を強制することで、アカウントとシステムの安全性をさらに高めることができます。
パスワードの定期的なローテーション
定期的にパスワードをローテーションすることで、盗まれたハッシュが有効な時間を短縮できるため、Pass-the-Hash 攻撃のリスクを軽減できます。最良の PAM ソリューションは包括的であり、パスワードのローテーションを有効にできる機能を備えています。
ゼロトラストの導入
ゼロトラストとは、すべてのユーザーが侵害されていると仮定し、継続的に身元を確認するよう要求することで、ネットワークシステムやデータへのアクセスを制限する枠組みです。ネットワーク内のすべてのユーザーとデバイスを暗黙のうちに信頼する代わりに、ゼロトラストは誰も信頼することなく、すべてのユーザーが潜在的に侵害されている可能性があると仮定します。
ゼロトラストは、サイバーセキュリティのリスクを低減し、組織の攻撃対象領域を最小限に抑え、監査とコンプライアンスのモニタリングを改善するのに役立ちます。ゼロトラストでは、IT 管理者はすべてのユーザー、システム、デバイスを完全に可視化することができます。誰がネットワークに接続しているのか、どこから接続しているのか、何にアクセスしているのかを確認することができます。
侵入テストを定期的に実施する
侵入テストはペンテストとも呼ばれ、組織のネットワーク、システム、デバイスに対するサイバー攻撃のシミュレーションです。定期的に侵入テストを実施することで、組織がどこに脆弱性があるかを特定し、サイバー犯罪者に悪用される前に修正することができます。