Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 791

Pass-the-Ticket

Pass-the-Ticket とは何ですか?

Pass-the-Ticket盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。

Pass-the-Ticket(PtT)は Kerberos の仕組みを悪用し、既に盗み出した TGT やサービスチケットを現在のログオンセッションに注入することで、本来のプリンシパルとしてリソースへアクセスします。攻撃者は Mimikatz や Rubeus を用いて LSASS メモリや侵害ホスト上の kirbi ファイルからチケットを抽出し、別マシン上に注入して SMB 共有、MSSQL、ドメインコントローラへ認証します。MITRE ATT&CK では T1550.003(Use Alternate Authentication Material: Pass the Ticket)として整理されています。対策には Credential Guard の有効化、チケット有効期限の短縮、特権アカウントの Protected Users グループ登録、Kerberos イベントの監視、Mimikatz 様のメモリアクセス検出があります。

  1. 01

    端末からドメイン管理者の TGT を窃取し、攻撃機からドメインコントローラへ接続する。

  2. 02

    Rubeus でチケットをエクスポートし、攻撃者の端末に注入して AD を照会する。

よくある質問

Pass-the-Ticket とは何ですか?

盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Pass-the-Ticket とはどういう意味ですか?

盗み出した Kerberos チケットを再利用し、パスワードを知らずにユーザーやサービスになりすます Active Directory 攻撃。

Pass-the-Ticket はどのように機能しますか?

Pass-the-Ticket(PtT)は Kerberos の仕組みを悪用し、既に盗み出した TGT やサービスチケットを現在のログオンセッションに注入することで、本来のプリンシパルとしてリソースへアクセスします。攻撃者は Mimikatz や Rubeus を用いて LSASS メモリや侵害ホスト上の kirbi ファイルからチケットを抽出し、別マシン上に注入して SMB 共有、MSSQL、ドメインコントローラへ認証します。MITRE ATT&CK では T1550.003(Use Alternate Authentication Material: Pass the Ticket)として整理されています。対策には Credential Guard の有効化、チケット有効期限の短縮、特権アカウントの Protected Users グループ登録、Kerberos イベントの監視、Mimikatz 様のメモリアクセス検出があります。

Pass-the-Ticket からどのように防御しますか?

Pass-the-Ticket に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Pass-the-Ticket の別名は何ですか?

一般的な別名: PtT。

関連用語