Entry № 889
Pass-the-Hash
Pass-the-Hash とは何ですか?
Pass-the-Hash平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。
Pass-the-Hash(PtH)は、NTLM 認証がパスワードのハッシュそのものを実質的な資格情報として扱う仕様を悪用します。ハッシュさえ保持していれば、平文パスワードを知らなくても認証が成立します。攻撃者は Mimikatz や secretsdump などを用いて LSASS メモリや SAM データベースからハッシュを抽出し、それを SMB・WMI・リモート管理サービスに再生して水平展開を行います。MITRE ATT&CK では T1550.002(Use Alternate Authentication Material)として整理されています。対策には Credential Guard の有効化、LAPS によるローカル管理者の使い回し抑止、階層化管理、可能な範囲での NTLM 無効化、LSASS への異常アクセスや異常ログオンの監視が挙げられます。
● 例
- 01
Mimikatz で NTLM ハッシュを取得し、SMB 経由で他のサーバへ認証する。
- 02
全社で共通のローカル管理者ハッシュを再利用し、端末からファイルサーバへ侵入する。
● よくある質問
Pass-the-Hash とは何ですか?
平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Pass-the-Hash とはどういう意味ですか?
平文パスワードではなく盗み取った NTLM ハッシュを用いて Windows に認証する、資格情報再利用攻撃。
Pass-the-Hash からどのように防御しますか?
Pass-the-Hash に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Pass-the-Hash の別名は何ですか?
一般的な別名: PtH。