Pass-the-Hash.

平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。

Pass-the-Hash(PtH)は、NTLM 認証がパスワードのハッシュそのものを実質的な資格情報として扱う仕様を悪用します。ハッシュさえ保持していれば、平文パスワードを知らなくても認証が成立します。攻撃者は Mimikatz や secretsdump などを用いて LSASS メモリや SAM データベースからハッシュを抽出し、それを SMB・WMI・リモート管理サービスに再生して水平展開を行います。MITRE ATT&CK では T1550.002(Use Alternate Authentication Material)として整理されています。対策には Credential Guard の有効化、LAPS によるローカル管理者の使い回し抑止、階層化管理、可能な範囲での NTLM 無効化、LSASS への異常アクセスや異常ログオンの監視が挙げられます。

Pass-the-Hash に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: PtH。