トークン偽装(Token Impersonation).

既存のアクセストークンを複製して別ユーザーのセキュリティコンテキストでコードを実行する Windows の権限昇格手法(MITRE ATT&CK T1134)。 サイバーセキュリティの ID とアクセス カテゴリに属します。

既存のアクセストークンを複製して別ユーザーのセキュリティコンテキストでコードを実行する Windows の権限昇格手法(MITRE ATT&CK T1134)。

トークン偽装は、各スレッドがアクセストークンを保持し、それに従って動作する Windows のトークンモデルを悪用する手法です。OpenProcessToken・DuplicateTokenEx・ImpersonateLoggedOnUser(または SetThreadToken)などの API と、SeImpersonatePrivilege・SeAssignPrimaryToken・SeDebugPrivilege といった十分な特権があれば、攻撃者は services.exe の SYSTEM トークンなど高権限のトークンを盗み、そのユーザーとしてプロセスを起動できます。Cobalt Strike の steal_token、Metasploit の incognito モジュール、Mimikatz の token::elevate がこの手法を自動化します。ATT&CK では T1134 Access Token Manipulation として分類され、Make and Impersonate Token、Create Process with Token、Parent PID Spoofing などのサブテクニックを持ちます。検出では Sysmon イベント 1/10 の異常や 4673/4624 と token-id の相関が中心となります。

トークン偽装(Token Impersonation) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: アクセストークン操作, T1134。