ゴールデンチケット攻撃とは

ゴールデンチケット攻撃は、脅威アクターがMicrosoft AD（Active Directory）内に認証チケットを偽造して、組織のドメインへのほぼ無制限のアクセスを獲得するというエクスプロイト後手法です。Kerberos認証プロトコルの脆弱性を悪用する攻撃であり、攻撃者は通常の認証チェックを回避して、永続的なアクセスを維持し、ネットワーク内をラテラルムーブメントできるようになります。

クラウドやハイブリッド環境に移行する組織が増えるにつれて、攻撃対象領域が従来の境界を越えて拡大しています。アイデンティティベースの攻撃が増加して、攻撃者が特権認証情報を侵害し、Kerberos認証を悪用することが容易になりました。ゴールデンチケット攻撃により、脅威アクターは通常のセキュリティ制御を回避し、検知を逃れ、重大なシステムへのアクセスを長期的に維持できるようになります。

ゴールデンチケット攻撃は、MITRE ATT&CKフレームワークの「永続性と認証情報アクセス」にマッピングされます。

• T1558.001 – Kerberosチケットの盗難または偽造（認証情報アクセス）
• T1098 –アカウント操作（永続性）

偽造されたKRBTGT（Kerberosチケット認可チケット）を利用して長期的にアクセスできるようになるため、事実上、攻撃者はドメイン管理者を含め任意のユーザーとして認証されます。

ゴールデンチケット攻撃の歴史

ゴールデンチケット攻撃は、Windows認証メカニズムにセキュリティの欠陥があることを明らかにするために2011年に開発されたオープンソースツールであるMimikatzと密接に関連しています。Mimikatzを使用すると、パスワードハッシュ、Kerberosチケット、NTLMハッシュなどの認証情報を抽出できます。攻撃者は、それらを使用してPass the Hash攻撃やチケット偽造攻撃を仕掛けます。

「ゴールデンチケット」とは組織のActive Directory環境にほぼ無制限にアクセスできることに由来した用語で、映画「チャーリーとチョコレート工場」に登場した架空のゴールデンチケットに似ていますが、賞品が組織のITインフラストラクチャを完全に制御する点であることが異なります。

ゴールデンチケット攻撃の仕組み

Kerberos認証は、KDC（キー配布センター）を利用して、ユーザー認証用にTGT（チケット認可チケット）を発行します。攻撃者は、有効なKerberosチケットを偽造することで、このプロセスを悪用します。

正当なKerberos認証プロセス

• ユーザーがログインし、その認証情報が有効であれば、AS（認証サーバー）がTGTを発行します。
• サービスアクセスの確認のため、TGTがTGS（チケット認可サーバー）に提示されます。
• TGSが、TGTを検証してユーザーに特定のリソースへのアクセスを許可します。

ゴールデンチケット攻撃の実行

ゴールデンチケット攻撃を実行するには、攻撃者はドメイン管理者権限をあらかじめ入手しておき、KRBTGTアカウントハッシュを抽出できるようにする必要があります。攻撃手順は次のとおりです。

1. ドメイン情報を入手する：攻撃者は次のような重要な詳細情報を収集します。

• FQDN（完全修飾ドメイン名）
• ドメインのSID（セキュリティ識別子）
• KRBTGTアカウントハッシュ（チケットの偽造に重要）

2. KRBTGTハッシュを盗む：DC（ドメインコントローラー）へのアクセスを獲得すると、攻撃者はMimikatzなどのツールを使用してKRBTGT NTLMハッシュを抽出します。このハッシュにより、攻撃者自身のKerberosチケットに署名して、認証メカニズムを回避できるようになります。

3. Kerberosチケットを偽造する：攻撃者は、KRBTGTハッシュを使用して任意の権限を持つTGTを作成し、事実上自分自身にドメイン管理者アクセスを許可します。

4. 永続的なアクセスを獲得する：偽造したTGTは何年も有効なままに設定できるため、次のことが可能になります。

• ドメイン内の任意のシステムやサービスにアクセスする
• ユーザーアカウントを作成または変更する
• 正当なユーザーを装って検知を回避する

Pass the Hash攻撃やPass the Ticket攻撃とは異なり、ゴールデンチケット攻撃では再認証が不要であるため、検知が非常に困難になります。

ゴールデンチケット攻撃の検知方法

偽造されたKerberosチケットは有効であるように見えるため、ゴールデンチケット攻撃を検知するのは困難です。ただし、セキュリティチームは、Kerberos認証アクティビティに次のような異常がないか調べることができます。

• 有効期間が異常に長いTGT：攻撃者は、アクセスを維持するためにチケットの有効期間を延長する場合があります。
• 存在しないユーザーに対して発行されたTGT：偽造チケットに、存在しないユーザー名やSIDが含まれている可能性があります。
• 特権アカウントからの異常なKerberosアクティビティ：特に、特権アカウントが最近使用されていない場合に見られます。
• 複数のデバイス間で再利用されているTGT：攻撃者によるチケットの偽造や再利用の可能性を示しています。

KRBTGTアカウントの変更：何の説明もなくKRBTGTが変更された場合、攻撃者がアクセスをリセットしている可能性があります。

XDRによるゴールデンチケット攻撃の検知

XDR（拡張検知・対応）ソリューションはドメインを越えて可視化できますが、ゴールデンチケット攻撃を検知するには、特殊なアイデンティティ保護機能が必要です。XDR（拡張検知・対応）は、システム間でKerberos認証イベントを相関させ、偽造チケットにつながる異常な認証パターンを識別し、振る舞い分析を利用してラテラルムーブメントと権限昇格を検知することで、検知機能を強化します。ただし、スタンドアロンのXDRは、偽造されたKerberosチケットを検知するのに十分ではない可能性があります。Active DirectoryセキュリティモニタリングをXDRおよびアイデンティティ保護ソリューションと統合すると、検知機能が大幅に向上します。

ゴールデンチケット攻撃を防ぐヒント

ゴールデンチケット攻撃はエクスプロイト後のアクセスを利用するため、リスクを緩和するためには、初期の侵害の防止とAD（Active Directory）の保護の両方に重点を置く必要があります。

Active Directoryを保護するためには、ゼロトラストの原則を実装して、ユーザーを継続的に検証および認証する必要があります。POLP（最小特権の原則）を適用すると、ユーザーアクセスを必要なものだけに制限し、攻撃対象領域を縮小できます。また、KRBTGTアカウントのアクティビティに異常がないかモニタリングし、KRBTGTパスワードを定期的にローテーションすることで、攻撃者に盗まれたハッシュの再利用を防ぐことができます。

認証情報の窃取を防ぐことも同様に重大です。ソーシャルエンジニアリングは攻撃者によく使用されるエントリポイントとなるため、従業員にフィッシング攻撃が周知されるように必要なトレーニングを実施する必要があります。パスワードの定期的なローテーションや厳格な認証ポリシーなどの強力なITハイジーンを実装すると、セキュリティがさらに強化されます。特権アカウントにMFA（多要素認証）を適用すると、防御層が積み重なるため、盗まれた認証情報の悪用がさらに困難になります。

最後に、プロアクティブな脅威ハンティングは、隠れた攻撃を検知するうえで重要な役割を果たします。セキュリティチームは、異常なKerberosチケットアクティビティをモニタリングし、振る舞い分析を使用してアイデンティティベースの異常を特定して、リアルタイムのアイデンティティ保護ツールを展開する必要があります。CrowdStrike® Falcon Adversary OverWatch®などのソリューションは、継続的モニタリングと対応を備えており、ゴールデンチケット攻撃のエスカレートを未然に防ぐことができるようになります。

クラウドストライクによる攻撃対象領域の保護

ゴールデンチケット攻撃は、攻撃者が企業環境への永続的なアクセスを維持するために使用する最も強力な手法の1つです。Kerberos認証の根本的な脆弱性を悪用する手法であるため、防御するにはアイデンティティ保護、強力なADセキュリティ、振る舞い検知、プロアクティブな脅威ハンティングを組み合わせた多層的なセキュリティアプローチが必要です。

セキュリティスタック全体の検知と対応をCrowdStrike Falcon® XDR™およびFalcon® Identity Protectionと統合すると、高度なアイデンティティベースの脅威を検知して緩和できます。