Pass the Hash攻撃とは

Pass the Hash (PtH) は、攻撃者が「ハッシュされた」ユーザー認証情報を盗み、それを使用して同じネットワーク上に新しいユーザーセッションを作成するタイプの攻撃です。他の認証情報の窃取攻撃とは異なり、Pass the Hash攻撃はシステムにアクセスするためのパスワードを知っている必要も、解読する必要もありません。その代わりに、保存されているパスワードのバージョンを使用して新しいセッションを開始します。

パスワードハッシュとは

パスワードハッシュは一方向性の数学関数です。ユーザーのパスワードを逆変換や復号化できないテキスト文字列に変換し、実際のパスワードを解読できないようにします。簡単に説明すると、パスワードはテキストや文字列としては保存されず、単なるハッシュ記号として保存されます。

Pass the Hash攻撃に対する懸念が高まっている理由

ますます多くの組織がシングルサインオン（SSO）テクノロジーを利用してリモート勤務を可能にし、操作性における障壁を軽減するようになったことで、攻撃者は、保存されたパスワードやユーザー認証情報の固有の脆弱性を認識するようになりました。

攻撃者が正規ユーザーを装うPass the Hash攻撃のようなアイデンティティベースの攻撃は、特に検知することが困難です。この理由は、従来のほとんどのサイバーセキュリティソリューションでは、攻撃者がなりすましたユーザーと本物のユーザーを区別できないためです。

Pass the Hash攻撃を防ぐことが重要なのは、多くの場合、この攻撃は、データ侵害、アイデンティティの窃取、マルウェア攻撃やランサムウェア攻撃などのより深刻なセキュリティ問題につながる入口として機能するためです。

Pass the Hash攻撃の仕組み

Pass the Hash攻撃では、通常、攻撃者はフィッシングなどのソーシャルエンジニアリング手法によりネットワークにアクセスします。これにより、サイバー犯罪者は、恐怖、共感、欲望など他者の感情を利用して個人情報を共有させたり、悪意のあるファイルをダウンロードしたりするよう求めます。

攻撃者はユーザーのアカウントにアクセスすると、さまざまなツールと手法を使用して、アクティブなメモリをスクレイピングして、ハッシュにつながるデータを入手します。

1つまたは複数の有効なパスワードハッシュを手に入れた攻撃者は、システムへのフルアクセスを獲得し、ネットワーク上でラテラルムーブメントができるようになります。攻撃者は、あるアプリケーションから次のアプリケーションへユーザーを偽装する際に、多くの場合ハッシュハーベスティングを実行します。これはシステム全体に追加のハッシュを蓄積することで、これを使用してアクセス可能なネットワーク領域を広げ、アカウント権限を追加し、特権アカウントを標的にして、バックドアやその他のゲートウェイを設定して将来アクセスできるようにします。

Pass the Hash攻撃に脆弱なユーザーとは

Windowsサーバークライアントや、Windows New Technology LAN Manager (NTLM) を使用している組織は、特にPass the Hash攻撃に対して最も脆弱です。

NTLMは、Microsoftセキュリティプロトコルスイートであり、ユーザーのアイデンティティを認証し、そのアクティビティの整合性と機密性を保護します。基本的に、NTLMはSSOツールであるため、チャレンジレスポンスプロトコルに依存しており、パスワードを送信しなくてもユーザーを確認できます。このプロセスは、NTLM認証と呼ばれています

NTLMは、パスワードのハッシュ化とソルト化に関連するいくつかの既知のセキュリティ脆弱性の影響を受けていました。NTLMでは、サーバーとドメインコントローラーに保存されたパスワードは、「ソルト化」されません。つまり、クラッキング手法からさらに保護するために、ハッシュ化したパスワードにランダムな文字列は追加されません。そのため、パスワードハッシュを所有する攻撃者は、セッションを認証するために基になるパスワードを必要としないことになります。

NTLMの暗号化手法でも、セキュリティ機能を大幅に強化するアルゴリズムと暗号化の新技術を利用することはできません。

NTLMは、KerberosによりWindows 2000と以降のActive Directory（AD）ドメインでデフォルトの認証プロトコルに置き換わりましたが、古いクライアントとサーバー間の互換性を保つためにすべてのWindowsシステムで依然として維持されています。例えば、いまだにWindows 95、Windows 98、またはWindows NT 4.0を実行しているコンピューターは、Windows 2000ドメインを使用してネットワーク認証にNTLMプロトコルを使用します。一方、Windows 2000を実行しているコンピューターは、Windows NT 4.0以前でサーバーを認証する場合や、Windows 2000以前のドメインのリソースにアクセスする場合に、NTLMを使用します。NTLMは、非ドメインコントローラーでローカルログインを認証するのにも使用されます。

最新のPass the Hash攻撃への着目

2022年4月に、Hiveと呼ばれるRaaS（サービスとしてのランサムウェア）プラットフォームで、Pass the Hash手法を利用してエネルギー、金融サービス、非営利団体、医療分野をはじめとする多数のMicrosoft Exchange Serverユーザーを狙った組織的攻撃が行われました。

この攻撃は、ProxyShellとして知られている、Microsoft Exchange Serverの特定の脆弱性を利用しています。この脆弱性には、Microsoftが早急にパッチを適用しましたが、多くの企業ではソフトウェアが更新されておらず、リスクにさらされている状態でした。

攻撃者はProxyShell脆弱性を利用して、Exchange Serverに悪意のあるコードの実行に使用されるバックドアWebスクリプトを仕掛けました。次に、Pass the Hash手法でシステムを制御し、Mimikatzを使用してNTLMハッシュを盗み出しました。その後、Hiveはサーバーを偵察して、データを収集し、ランサムウェアのペイロードを展開しました。

Pass the Hashの軽減策

企業レベルでPass the Hash攻撃を防ぐには、組織が、強力なパスワード要件の設定や複数のログイン試行の監視のようなセキュリティに関する従来のベストプラクティスでは、この攻撃方法を完全に抑えるのは不可能であることを理解する必要があります。幸いなことに、以下のように、ハッシュ攻撃の進行を防ぎ、その影響を抑えるために企業が講じることのできる効果的な措置がいくつかあります。

1. ネットワークアクセスとアカウント特権を制限する

組織はハッカーの動きを封じ、損害を抑えるために、ネットワークアクセスも制限する必要があります。これには、以下のような手法があります。

• 最小特権の原則 (POLP)：最小特権の原則 (POLP) は、コンピューターセキュリティの概念および実践であり、ユーザーはそのジョブに必要なタスクに基づいて制限されたアクセス権が付与されるというものです。アイデンティティが検証された承認済みのユーザーのみが、特定のシステム、アプリケーション、データ、その他のアセット内でジョブを実行するのに必要な権限を持てるようになります。これにより、組織でネットワークとデータアクセスを制御し、監視できるようになるため、この原則は、組織のサイバーセキュリティポスチャを強化するための最も効果的な実践の1つになると広く考えられています。
• ゼロトラスト：ゼロトラストとは、アプリケーションやデータにアクセスする前に、組織のネットワークの内外を問わず、すべてのユーザーの認証、承認、継続的な検証を必要とするセキュリティフレームワークのことです。このフレームワークは、リスクベースの多要素認証、アイデンティティ保護、次世代エンドポイントセキュリティ、堅牢なクラウドワークロードテクノロジーなどの高度なテクノロジーが組み合わされており、ユーザーやシステムのアイデンティティ、その時点でのアクセスへの配慮、システムセキュリティの維持を検証します。ゼロトラストでは、データの暗号化、Eメールの保護、およびアプリケーションに接続する前のアセットとエンドポイントのハイジーンも考慮する必要があります。
• 特権アクセス管理 (PAM)：特権アクセス管理 (PAM) は、セキュリティの維持や管理者アカウントの特権認証情報に焦点を当てたサイバーセキュリティ戦略です。
• アイデンティティセグメンテーション：アイデンティティセグメンテーションは、アプリケーションやリソースへのユーザーアクセスをアイデンティティに基づいて制限する方法です。
• 攻撃対象領域の削減：既知の脆弱性があり、攻撃者に悪用されるNTLMのようなレガシープロトコルを無効にします。

2. ITDR（アイデンティティ脅威検知・対応）ソリューションを実装する

Falconアイデンティティ保護のような包括的なITDR（Identity Threat Detection and Response：アイデンティティ脅威の検知と対応）ソリューションでは、攻撃者がPass the Hash攻撃を利用してラテラルムーブメントを開始したり、RDPを介してADドメインコントローラーに接続しようとしたりするリスクを軽減することができます。すべての認証トラフィックの確認やエンドポイントの可視化が可能なADドメインコントローラーのセンサーを使用すると、このようなソリューションで、エンドポイントとアイデンティティレイヤー全体にわたって脅威を関連付け、攻撃者の侵入を阻止できます。また、攻撃者が対処できない帯域外のMFAチャレンジの形で障壁を設けることもできます。

通常、MFAソリューション自体では、攻撃者がパスワードハッシュを保持している攻撃に対処できませんが、Falconアイデンティティ保護では、異常な振る舞いやアイデンティティベースの脅威（使用したことのないエンドポイントからのリクエストや、Local Security Authority Subsystem Service（LSASS）プロセスで何らかの処理を実行しようとするユーザーなど）を検知すると、直ちにMFAフローをトリガーできます。これにより、攻撃者はPtH攻撃を開始できても、それ以上の損害を与えることはできません。

3. ITハイジーンを強制適用する

ITハイジーンツールは、組織全体の認証情報の使用を可視化して、潜在的な悪意のある管理者アクティビティを検知します。アカウントモニタリング機能を使用することで、セキュリティチームは、アクセスを維持するために攻撃者が作成した特権アカウントの存在をチェックできます。また、パスワードが定期的に変更されるため、盗まれた認証情報を永久に使用することはできません。

4. 定期的にペネトレーションテストを実施する

ペネトレーションテストは、侵入テストまたは倫理的ハッキングとも呼ばれており、Pass the Hashなどのアイデンティティベースの攻撃を防ぐために組織で講じることができるもう1つの重要な手段です。ペネトレーションテストでは、現実世界のさまざまなサイバー攻撃をシミュレートして組織のサイバーセキュリティ能力をテストし、脆弱性を明らかにします。テストには、システムの特定、列挙、脆弱性の検知、搾取、権限昇格、ラテラルムーブメント、目的が含まれています。

5. プロアクティブな脅威ハンティングを採用する

CrowdStrike Falcon® OverWatch™などの真にプロアクティブな脅威ハンティングツールにより、盗んだ認証情報を利用して正規のユーザーを装って実行される未知のステルス攻撃を24時間365日体制でハンティングできます。これらは、標準的な対策で見逃される可能性のある攻撃の種類です。OverWatchチームは、高度な持続的標的型攻撃 (APT攻撃) アクターとの日々の「白兵戦」から得た専門知識を活用して、毎日数百万もの微妙なハンティングリードを見つけて追跡し、それらが正当なものか悪意のあるものかを検証しながら必要に応じてお客様に警告しています。