Kerberoasting
Kerberoasting とは何ですか?
Kerberoastingサービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。
Kerberoasting は、2014 年の DerbyCon で Tim Medin が初めて発表したもので、Kerberos の中核的な性質を悪用します。すなわち、認証済みのドメインユーザーであれば誰でも任意の Service Principal Name(SPN)に対するサービスチケット(TGS-REP)を要求でき、そのチケットの一部はサービスアカウントの NTLM パスワードハッシュで暗号化されています。攻撃者は対象のサービスに一切触れることなく、SPN を列挙し(LDAP、setspn、Rubeus、または Impacket の GetUserSPNs 経由)、チケットを要求し、暗号化されたブロブをエクスポートして、Hashcat(モード 13100)または John the Ripper でオフライン解析します。昇格権限もアカウントロックも関与しないため、弱くローテーションされていないパスワードを持つサービスアカウントは数時間で陥落することが珍しくありません。
リスクが最も高いのはレガシーな RC4-HMAC(etype 23)チケットで、AES よりはるかに高速に解析できるため、攻撃者は意図的に要求を RC4 にダウングレードすることが多くあります。MITRE ATT&CK ではこれを T1558.003 として追跡しています。サービスアカウントは過剰な権限を付与されていることが多いため、ランサムウェアのアフィリエイトに好まれ、広く報じられた Active Directory 侵害の中心となりました。防御策としては、25 文字以上のランダムパスワードまたは自動ローテーションを備えたグループ管理サービスアカウント(gMSA/dMSA)の使用、AES 暗号化タイプの強制、特権アカウントからの不要な SPN の削除、ハニーポット SPN の展開、大量の RC4 チケット要求を示す Event ID 4769 へのアラートが挙げられます。
flowchart TD A[低権限のドメインユーザー] -->|"1. LDAP 経由で SPN を列挙"| B[Active Directory] A -->|"2. SPN の TGS を要求(RC4 を強制)"| C[KDC / ドメインコントローラー] C -->|"3. サービスアカウントのハッシュで<br/>暗号化された TGS-REP"| A A -->|"4. チケットをエクスポート"| D[オフライン解析<br/>Hashcat モード 13100] D -->|"5. 弱いパスワードを復元"| E[サービスアカウントの侵害<br/>→ 横展開 / DA]
● 例
- 01
低権限ユーザーに対して Rubeus kerberoast を実行して TGS チケットを収集し、Hashcat で解析する。
- 02
Domain Admin に弱いパスワードの SPN が付いていることを発見し、ドメイン全体の侵害へ昇格する。
● よくある質問
Kerberoasting とは何ですか?
サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Kerberoasting とはどういう意味ですか?
サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分を解析して平文パスワードを復元するオフラインパスワード攻撃。
Kerberoasting からどのように防御しますか?
Kerberoasting に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。