悪意のあるアクターは、認証メカニズムを回避して不正アクセスを獲得する方法を常に模索しています。よくある戦術の1つに、Microsoft AD（Active Directory）環境のネットワークセキュリティに広く使用されているKerberosなどの認証プロトコルの脆弱性を悪用することがあります。

シルバーチケット攻撃はエクスプロイト後の攻撃の1つで、攻撃者はKerberos TGS（サービスチケット）を偽造してドメインコントローラーによる再認証を逃れて特定のサービスにアクセスしようとします。ゴールデンチケット攻撃はドメインを完全に制御するものですが、シルバーチケット攻撃は標的を絞った攻撃で、攻撃者は特定のセキュリティ制御を回避しつつ特定のサービスアカウントを悪用します。組織のActive Directoryインフラストラクチャを安全に保護するためには、シルバーチケット攻撃を防御および検知することが重要です。

シルバーチケット攻撃とは

Kerberos認証での「チケット」とは、ユーザーを認証してサービスへのアクセスを許可するためにKDC（キー配布センター）が発行する暗号化トークンです。

シルバーチケットは偽造されたサービスチケットであり、攻撃者がKDCとやり取りせずにサービスに対して直接認証できます。こうした偽造チケットは、サービスアカウントのパスワードハッシュを使用して暗号化されるため、有効なTGT（チケット認可チケット）がなくても標的のサービスにアクセスできるようになります。

ゴールデンチケット攻撃ではKRBTGT（Kerberosチケット認可チケット）アカウントハッシュ（ドメイン全体の永続性を許可）を侵害しますが、シルバーチケット攻撃では個々のサービスアカウントハッシュを悪用するため、検知が難しく、ステルス性が増す傾向があります。

各種Kerberosチケット攻撃の主な違い

シルバーチケット攻撃の仕組み

シルバーチケット攻撃を実行するには、攻撃者は侵害したマシン上でローカル管理者アクセス権を持ち、標的のサービスアカウントのNTLMハッシュを取得する必要があります。攻撃手順は次のとおりです。

1. 情報を収集する：ドメインのSID（セキュリティ識別子）や標的とするサービスのDNS名などのドメイン詳細を収集します。
2. NTLMハッシュを取得する：サービスアカウントのNTLMハッシュを抽出します。よく狙われるのが、設定ミスにより高い権限で実行されているサービスです。抽出には、Mimikatzなどのツールで認証情報をダンプするという手法が使用されます。
3. TGS（サービスチケット）を偽造する：盗んだサービスアカウントハッシュを使用して偽のサービスチケットを作成し、暗号化して、標的のサービスへの認証を許可します。
4. 偽造したチケットを使用する：DC（ドメインコントローラー）からTGT（チケット認可チケット）を得ることなく、偽造したTGSをサービスに提示して、アクセスを獲得します。
5. 権限を昇格させてラテラルムーブメントする：シルバーチケットアクセスを使用して、サービスアカウントとしてコードを実行する、ローカルシステムで権限を昇格させる、移動して環境の侵害を進めるといった行為に及びます。

シルバーチケット攻撃の防止

シルバーチケット攻撃を防ぐためには、サービスアカウントの保護と異常な認証振る舞いのモニタリングに重点を置き、潜在する脅威を検知して緩和する必要があります。

1. Active Directoryを保護する

最小特権の原則を実装すると、サービスアカウントには職務の遂行に必要な最小限の権限のみが付与されるため、エクスプロイトのリスクを軽減できます。サービスアカウントのアクティビティをモニタリングすると、予期しないログインや不正アクセスの試行などの異常な振る舞いを検知できます。サービスアカウントのパスワードを定期的にローテーションすると、アクセスが永続的に維持される可能性を抑えることができます。さらに、KRBTGTアカウントを強化すると、シルバーチケット攻撃に直接関与していなくても、ラテラルムーブメントやドメイン全体への侵害を制限できるようになります。

2. 認証情報の窃取のリスクを軽減する

認証情報の窃取を最小限に抑えるには、特権アカウントに対してMFA（多要素認証）を実施して、攻撃者に認証情報を盗まれても悪用されにくくする必要があります。権限を昇格しても不要なサービスが実行されないようにサービスアカウントの使用を制限すると、リスクも軽減されます。効果的な戦略にはもう1つ、マネージドサービスアカウントを使用することがあります。マネージドアカウントはパスワードを自動的にローテーションするため、手動でのパスワード管理が不要になり、侵害のリスクが軽減されます。

3. シルバーチケット攻撃を検知して対応する

シルバーチケット攻撃を検知するには、Kerberos認証アクティビティの継続的モニタリングが必要です。セキュリティチームは、攻撃の進行を示唆する異常なTGS（サービスチケット）アクティビティがないか調べる必要があります。例えば、存続期間が異常に長いチケットや再利用されているチケットなどです。予期しない時間や場所からサービスアカウントのログオンがないか認証ログを調べると、侵害の早期警告サインが見つかる可能性があります。振る舞い分析ソリューションを利用すると、ユーザーの通常の振る舞いから逸脱した不規則な認証パターンを特定できるようになります。最後に、CrowdStrike Falcon® Identity Protectionなどのリアルタイムアイデンティティ保護ツールを利用すると、継続的モニタリングを実施して疑わしいKerberosチケットアクティビティに自動的に対応できるため、脅威の検知と緩和が迅速化されます。

プロアクティブセキュリティ対策の実装、サービスアカウントの使用状況の継続的モニタリング、高度なアイデンティティ保護ソリューションにより、本格的なセキュリティインシデントにエスカレートする前にシルバーチケット攻撃を効果的に防御、検知、緩和できます。

シルバーチケット攻撃の軽減と対応

シルバーチケット攻撃は、ドメインコントローラーの検証をバイパスし、ステルス型の権限昇格を可能にするため危険です。攻撃が検知されたら、その脅威を封じ込めるために迅速に行動する必要があります。
インシデント対応手順

1. 影響を受けたサービスアカウントを特定する：ログを確認して、攻撃に使用されたサービスアカウントを特定します。
2. 侵害されたサービスアカウントのパスワードをリセットする：これにより、そのアカウントに関連付けられた偽造シルバーチケットが無効になります。
3. ラテラルムーブメントを分析する：攻撃者が権限を昇格させたかどうかや、他にもシステムを侵害したかどうかを突き止めます。
4. 認証メカニズムを強化する：特権ユーザーに対してMFA（多要素認証）を適用し、サービスアカウントの権限を必要最小限なものにします。
5. 根本原因を調査する：将来の侵害を防ぐために、攻撃者が初期アクセスをどのように獲得したかを突き止めます。

追加の対策：

• PAC（特権属性証明書）検証を有効にする：攻撃者がKerberosチケット属性を変更するのを防ぎます。
• 強力なパスワードポリシーを実装する：サービスアカウントにはランダムで長いパスワードを使用し、頻繁に変更します。
• 管理者特権を制限する：攻撃者がシルバーチケットアクセスをエスカレートしてドメインを完全に侵害することを防ぎます。

アイデンティティセキュリティの強化、認証アクティビティのモニタリング、最小特権の適用により、本格的なドメイン侵害にエスカレートする前にシルバーチケット攻撃を防御、検知、緩和できます。

クラウドストライクによる攻撃対象領域の保護

シルバーチケット攻撃は、攻撃者が企業環境へのアクセスを維持するために使用する強力な手法です。Kerberos認証の根本的な脆弱性を悪用する手法であるため、防御するにはアイデンティティ保護、強力なADセキュリティ、振る舞い検知、プロアクティブな脅威ハンティングを組み合わせた多層的なセキュリティアプローチが必要です。

セキュリティスタック全体の検知と対応をCrowdStrike Falcon® XDR™およびFalcon® Identity Protectionと統合すると、高度なアイデンティティベースの脅威を検知して緩和できます。