Entry № 257
認証情報窃取マルウェア
認証情報窃取マルウェア とは何ですか?
認証情報窃取マルウェア感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。
認証情報窃取マルウェアは、より大規模なインフォスティーラーの一部であることもあり、Windows LSASS プロセス内の認証情報、ブラウザのパスワードストア、SSH 鍵、Wi-Fi パスワード、キャッシュされたドメイン認証情報など、保存済みまたはメモリ上の秘密情報を狙います。取得した認証情報は横展開、持続化、BEC、クレデンシャルスタッフィングに利用されます。代表例の Mimikatz は、リフレクティブロードでメモリにロードされることが多いです。対策としては、Credential Guard、LSA 保護、厳格な最小権限、ローカル管理者権限の削除、パスワードに代わる FIDO2 キーの利用、メモリスクレイピング検知が可能な EDR、認証情報ストアへの不審アクセス監視などが挙げられます。
● 例
- 01
Mimikatz が LSASS メモリから NTLM ハッシュを抽出する。
- 02
LaZagne がブラウザ、Wi-Fi、アプリケーションからパスワードを取り出す。
● よくある質問
認証情報窃取マルウェア とは何ですか?
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
認証情報窃取マルウェア とはどういう意味ですか?
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。
認証情報窃取マルウェア からどのように防御しますか?
認証情報窃取マルウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
認証情報窃取マルウェア の別名は何ですか?
一般的な別名: パスワードスティーラー, 認証情報ダンパー。