「Kerberoasting」攻撃とは、攻撃者がActive Directoryアカウントの認証情報を取得し、その認証情報を利用してデータを盗む手法です。「Kerberoasting」という単語は言葉遊びで、インターネットのような信頼性の低いネットワーク上のクライアントとサービス間の認証要求を安全に行うことを目的としたネットワーク認証プロトコルKerberosをもじったものです。
Kerberoasting攻撃中、脅威アクターは盗んだ認証情報を利用して暗号化されたメッセージを収集し、その後オフラインで復号します。Kerberoasting攻撃をかわすには、脅威アクターのアクセス(権限昇格)をより困難にすることも有効ですが、攻撃者は、たった1人のユーザーのアカウントを侵害するだけでが認証情報にアクセスすることができてしまいます。
Kerberoasting攻撃では、システムが正当であるとみなすユーザーに対してアクセスが許可されるため、こうした攻撃は広く蔓延しています。漏洩したり盗難された認証情報の発見までにはタイムラグがあるため、脅威アクターがネットワークの正規ユーザーを装える時間が長くなるほど、そうした悪意ある個人やグループが好き勝手にデータにアクセスしたり窃盗を行うなどの時間が長くなります。
実際に、米国政府のCybersecurity Infrastructure and Security Agency(CISA)では、Kerberoastingは権限昇格させ、チェックをかわしてネットワーク全体を水平移動する最も時間効率の良い方法の1つであるとしています。
Kerberos攻撃は、Kerberos認証プロトコルを利用して次のことを行います。
Kerberoasting攻撃には、管理者アカウントや昇格された権限は必要ありません。実際、こうした攻撃が特に利用されている理由の1つには、すべてのアカウントがチケット許可サーバー(TGS)にサービスチケットを要求できるため、任意のドメインユーザーアカウントを使用できることが挙げられます。
攻撃者がユーザーのアカウントにアクセスすると、通常、そのドメイン内の任意のワークステーション(具体的には、Kerberos対応のサービスアカウントを要するサービスを実行している可能性のあるワークステーション)にログインできます。
攻撃者が高い権限を持つ人物になりすましている場合、水平展開や窃盗などの後続のアクションが、セキュリティ組織全体や企業全体の眼前で発生する可能性があります。実際、高度になりすましできるため、攻撃者が比較的短時間で捕らえられた場合であっても、企業は極めて大きな損害を被る可能性があります。
水平展開が野放しとなることは、どんな組織にとっても恐ろしいことです。そのため、こうした水面下で行われる、悪意のある危険な行動を早期に検出するセキュリティツールの重要性がこれまで以上に増しています。
Kerberoasting攻撃にはさまざまな実行方法があります。そのため、ここでは特に1つの侵害でどのような技術が使用されているかに着目してみましょう。
CISAによると、Kerberoastingはロシア国家が支援する高度な持続的脅威(APT)攻撃者が好んで使用する攻撃手法であり、犯人は上述のKerberoasting攻撃手法を実行しています。
攻撃者が適切に認証されたプロファイルでネットワークにアクセスできるようになると、理論的にはネットワーク内を簡単に水平展開できるようになります。データの窃盗がこのように巧妙に行われると、特に過検知アラートが常時表示されるような状況では、悪意のあるアクティビティの検知は難しくなります。
こうした過検知率の高さは、MITREの推奨事項を遵守するだけでは解決が難しい場合があります。これを克服して検知の精度を高めるには、さらに手順を踏む必要があります。Rapid7のInsightIDRは、過検知率の高さを次の方法で解決する上で役立ちます。
Kerberoasting攻撃はさまざまな方法で阻止できます。ただし、特に重要な点は、組織全体で適切なパスワードの管理を徹底することです。ランダムに生成された認証情報を使用し、さらに昇格された権限を持つアカウントをできるだけ厳重にロックすることが重要です。
ここで、進行中のKerberoasting攻撃が検知された場合の適切な対応を詳しく紹介します。当然ながら、脅威アクターが適切な認証情報を持った個人になりすまして長期間アクセスし、大量のデータが盗まれる可能性があるという最悪のシナリオが簡単に想像できるでしょう。
落ち着いて、次の手順で適切な対応を始めます。
MFAは、Kerberoasting攻撃を避ける比較的簡単な方法の1つで、複数のデバイス間で複数の認証形式を要求することで、攻撃の試行の大部分を撃退することができます。企業の立場から見ると、課題はMFAソフトウェアを従業員全体に普及させ、ビジネスを保護するためのこの重要な慣行を確実に導入することとなります。
こうした簡単なセキュリティチェックを実施することは常識のように思えます。しかし、MFAのような適切なパスワードや認証情報の管理が十分でない企業は、まだ世界中にたくさんあります。
脅威アクターがKerberosのようなセキュリティプロトコルをデータ窃盗のためのツールに変えることができるというのは、残念で恐ろしいことです。ただこれは、このツールを捨てるべき理由にはなりません。実際、Kerberosは、安全でない環境でユーザーの安全を確保するための重要なツールです。
前述したように、脅威アクターを早期に阻止するための検知ツールを実装することは、この重要な認証プロトコルを安全に保つ上で効果的な対策です。例えば、Rapid7のInsightIDRは、ユーザーアクティビティのベースラインを継続的に作成できるため、不審なアクティビティをより簡単かつ迅速に検知できます。
また、ネットワーク境界を越えた検知に重要な外部の脅威インテリジェンスを活用することもできます。これには、ダークウェブの深部に最も近いネットワークエンドポイントが考慮されています。セキュリティ組織がKerberoastingやAPTアクターの阻止のためにどのような製品やソリューションを採用する場合であっても、現在は、従業員になりすましてネットワークに侵入することがこれまでになく簡単となっていることを考慮することが重要です。
こうしたなりすましによる侵入は、通常、窃取された認証情報を使って行われます。そのため、ユーザーおよびエンティティ行動分析(UEBA)を継続的に分析し、ネットワーク上のアクティビティを特定のユーザーに結び付けることが非常に重要です。ユーザーが通常とは異なる行動をとる場合、アナリストはそれを迅速に発見し、調査します。これは、故意または無意識に、ある種のリスクをもたらす実在の従業員である可能性もあります。