Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 654

Kerberoasting

監修Cybersecurity entrepreneur & security researcher

Kerberoasting とは何ですか?

Kerberoastingサービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。


Kerberoasting は、2014 年の DerbyCon で Tim Medin が初めて発表したもので、Kerberos の中核的な性質を悪用します。すなわち、認証済みのドメインユーザーであれば誰でも任意の Service Principal Name(SPN)に対するサービスチケット(TGS-REP)を要求でき、そのチケットの一部はサービスアカウントの NTLM パスワードハッシュで暗号化されています。攻撃者は対象のサービスに一切触れることなく、SPN を列挙し(LDAP、setspn、Rubeus、または Impacket の GetUserSPNs 経由)、チケットを要求し、暗号化されたブロブをエクスポートして、Hashcat(モード 13100)または John the Ripper でオフライン解析します。昇格権限もアカウントロックも関与しないため、弱くローテーションされていないパスワードを持つサービスアカウントは数時間で陥落することが珍しくありません。

リスクが最も高いのはレガシーな RC4-HMAC(etype 23)チケットで、AES よりはるかに高速に解析できるため、攻撃者は意図的に要求を RC4 にダウングレードすることが多くあります。MITRE ATT&CK ではこれを T1558.003 として追跡しています。サービスアカウントは過剰な権限を付与されていることが多いため、ランサムウェアのアフィリエイトに好まれ、広く報じられた Active Directory 侵害の中心となりました。防御策としては、25 文字以上のランダムパスワードまたは自動ローテーションを備えたグループ管理サービスアカウント(gMSA/dMSA)の使用、AES 暗号化タイプの強制、特権アカウントからの不要な SPN の削除、ハニーポット SPN の展開、大量の RC4 チケット要求を示す Event ID 4769 へのアラートが挙げられます。

flowchart TD
  A[低権限のドメインユーザー] -->|"1. LDAP 経由で SPN を列挙"| B[Active Directory]
  A -->|"2. SPN の TGS を要求(RC4 を強制)"| C[KDC / ドメインコントローラー]
  C -->|"3. サービスアカウントのハッシュで<br/>暗号化された TGS-REP"| A
  A -->|"4. チケットをエクスポート"| D[オフライン解析<br/>Hashcat モード 13100]
  D -->|"5. 弱いパスワードを復元"| E[サービスアカウントの侵害<br/>→ 横展開 / DA]

  1. 01

    低権限ユーザーに対して Rubeus kerberoast を実行して TGS チケットを収集し、Hashcat で解析する。

  2. 02

    Domain Admin に弱いパスワードの SPN が付いていることを発見し、ドメイン全体の侵害へ昇格する。

よくある質問

Kerberoasting とは何ですか?

サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Kerberoasting とはどういう意味ですか?

サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。

Kerberoasting からどのように防御しますか?

Kerberoasting に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

関連用語

関連項目