マルウェア
認証情報窃取マルウェア
別称: パスワードスティーラー, 認証情報ダンパー
定義
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。
認証情報窃取マルウェアは、より大規模なインフォスティーラーの一部であることもあり、Windows LSASS プロセス内の認証情報、ブラウザのパスワードストア、SSH 鍵、Wi-Fi パスワード、キャッシュされたドメイン認証情報など、保存済みまたはメモリ上の秘密情報を狙います。取得した認証情報は横展開、持続化、BEC、クレデンシャルスタッフィングに利用されます。代表例の Mimikatz は、リフレクティブロードでメモリにロードされることが多いです。対策としては、Credential Guard、LSA 保護、厳格な最小権限、ローカル管理者権限の削除、パスワードに代わる FIDO2 キーの利用、メモリスクレイピング検知が可能な EDR、認証情報ストアへの不審アクセス監視などが挙げられます。
例
- Mimikatz が LSASS メモリから NTLM ハッシュを抽出する。
- LaZagne がブラウザ、Wi-Fi、アプリケーションからパスワードを取り出す。
関連用語
インフォスティーラー
感染端末から認証情報、Cookie、トークン、暗号資産ウォレットなどの機密データを収集し、攻撃者へ持ち出すマルウェア。
キーロガー
利用者のキー入力を記録するソフトウェアまたはハードウェア。パスワード・金融データ・メッセージなどの窃取に使われる。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
Kerberos
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
NTLM 認証
保存されたパスワードハッシュからユーザー身元を証明する Windows 旧来のチャレンジ・レスポンス認証プロトコルで、現代の基準では弱いと評価されている。
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。