- はじめに
- 資格情報と認証情報
- 「資格情報」を奪取する攻撃と関連する管理策について
- 1. オンライン攻撃 (パスワードクラック)
- 2. 管理不備を含む脆弱性を悪用した資格情報の奪取
- 2-1. T1003 OS Credential Dumping(OS 資格情報のダンプ)
- 2-2. T1110 Brute Force(ブルートフォース)
- 2-3. T1555 Credentials from Password Stores(パスワードストアからの資格情報)
- 2-4. T1212 Exploitation for Credential Access(資格情報アクセスの悪用)
- 2-5. T1187 Forced Authentication(強制認証)
- 2-6. T1606 Forge Web Credentials(ウェブ資格情報の偽造)
- 2-7. T1539 Steal Web Session Cookie(ウェブセッションクッキー窃取)
- 2-8. T1552 Unsecured Credentials(セキュアではない資格情報)
- 3. 通信経路上での窃取(スニッフィング ・盗聴)
- まとめ
- 参考資料
- 脚注
はじめに
「認証情報」を保護するための有効な管理策を考察するためには、パスワードクラック、及びそのオフライン攻撃の起点となる認証情報を窃取するための攻撃手法を理解する必要があります。
これまで参考にしていたISO、NISTなどのガイドラインでは、攻撃手法に関し詳しい説明がないため、今回は、主にMITRE ATT&CKフレームワーク*1で「戦術:TA0006 Credential Access(資格情報へのアクセス)」に分類されている個々の攻撃手法(TTPs)を参考に有効な管理策を考えてみたいと思います。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
資格情報と認証情報
本稿では、一般的な考え方に基づき、以下のように用語を定義します。
資格情報(Credentials)
= 識別子(Identifier)+ 認証情報(Authentication information)
※)識別子はアカウント(Account)とも呼ばれます
「資格情報」を奪取する攻撃と関連する管理策について
この後の攻撃手法の説明では、資格情報を奪取する攻撃を関連する手法ごとに以下のように分類します。
1.オンライン攻撃(パスワードクラック)
2.管理不備を含む脆弱性を悪用した資格情報の奪取
3.通信経路上での窃取(スニッフィング ・盗聴)
1. オンライン攻撃 (パスワードクラック)
別の機会に”「パスワードクラック手法」と「有効な管理策」について”という題名でブログ公開予定です。
2. 管理不備を含む脆弱性を悪用した資格情報の奪取
攻撃者が防御側組織による管理不備を含む脆弱性を悪用し資格情報を奪取する攻撃手法です。奪取された認証情報がハッシュ化されている場合でも攻撃者側の環境でオフライン攻撃により制限なく解析が可能です。
以下、関連する攻撃手法の概略と有効とされる管理策の例を紹介します。(各表題にあるTXXXXは、MITRE ATT&CKフレームワーク上のTECHNIQUESの分類コードを表しています)
2-1. T1003 OS Credential Dumping(OS 資格情報のダンプ)
- 攻撃手法の概要
攻撃者が、例えば、メモリ内又はセキュリティアカウントマネージャ(SAM)データベースが格納されている Windows レジストリから資格情報の抽出を試みるなどにより、ハッシュ値、又は平文パスワード及びログインアカウントの形式で、資格情報をダンプする攻撃手法です。取得した資格情報は、ラテラルムーブメント時に制限された情報へのアクセスを試みる際に利用されます。
- 管理策例
ネットワーク上に存在するPCのローカル管理者アカウントのパスワードを複雑で一意なものに設定するなどを行うことにより、ラテラルムーブメントの際に、窃取した資格情報を利用できないため、侵入範囲の拡大を防ぐ効果があります。
ローカルファイルシステムでSAMを開くハッシュダンパーを監視することにより攻撃を検知できる可能性があります。
2-2. T1110 Brute Force(ブルートフォース)
別の機会に”「パスワードクラック手法」と「有効な管理策」について”という題名でブログ公開予定です。
2-3. T1555 Credentials from Password Stores(パスワードストアからの資格情報)
- 攻撃手法の概要
一般的なパスワード保存場所(パスワードストア)を探索し、利用者の資格情報を取得する攻撃手法です。
- 管理策例
パスワードストアやWebブラウザの機能によるログインキーチェーンを利用することのリスクアセスメント(キーチェーンに登録されている各サイトのログインパスワードは平文による表示が可能であること)とリスク対応(ログインキーチェーンに、プライマリパスワードやデバイスパスワードと呼ばれるような追加のパスワードを設定をすることによりキーチェーンへのアクセスを制限する)を実施しパスワードを保護することにより、容易にたどり着けなくなります。
一般的、又は共通のパスワード保存先への探索が疑われるコマンドやアクセス中のファイルを監視することにより攻撃を検知できる可能性があります。
2-4. T1212 Exploitation for Credential Access(資格情報アクセスの悪用)
- 攻撃手法の概要
ソフトウェア(OS(カーネル)プログラム、サービス)の脆弱性を悪用し、資格情報にアクセスする攻撃手法です。
- 管理策例
パッチ適用などの既知の脆弱性への対応や未知の脆弱性に対してはサンドボックスによる脆弱性悪用の制限が考えられます。
異常なプロセス作成や動作などの侵害が成功した可能性のあるシステム上の動作を監視することにより検知できる可能性はありますが、正常に検知できる可能性はあまり高くないようです。
2-5. T1187 Forced Authentication(強制認証)
- 攻撃手法の概要
OSがプリンタやファイルなどのSMB(Server Message Block)リソースに接続する際に、現在の利用者の資格情報を自動的に認証しリモートシステムに送信しようとする動作を利用し、(例えば、ハッシュ化された資格情報などをSMB 経由で攻撃者が制御するサーバーに送信するなどにより)利用者の資格情報にアクセスしようとする攻撃手法です。
- 管理策例
外部ネットワーク向けのSMBやWebDAVプロトコルトラフィックや関連するポート(例えば、TCP ポート 139、445、及びUDP ポート 137)をブロックすることにより資格情報の外部ネットワークへの送信を防げる可能性が高くなります。
不明な外部システムへの上記プロトコル及びポートに関連する異常なトラフィックを監視することにより検知できる可能性があります。
2-6. T1606 Forge Web Credentials(ウェブ資格情報の偽造)
- 攻撃手法の概要
有効な(例えば、SAML用の署名、パスワードなどの)認証情報を入手し、SAMLトークンやセッション(Web)Cookieを偽造する攻撃手法です。
- 管理策例
セッション(Web)Cookieを永続的に使用せず定期的に削除することで、Cookieによるなりすましの可能性を低減します。
また、AD FS(Active Directory Federation Service)サーバーへのアクセスを制限することにより、SAMLトークンによるなりすましの可能性を低減します
同一アカウントによる複数エリアからのログオン、通常とは異なるシステムからの利用など異常なアクセスの監視や、ドメイン内に対応する4769および1200のイベントがないSAMLトークンを使用したログインの監視により検知できる可能性があります。
2-7. T1539 Steal Web Session Cookie(ウェブセッションクッキー窃取)
- 攻撃手法の概要
Web アプリケーション、又はサービス セッションのCookie を窃取し、それらを認証トークンとして使用することにより資格情報を必要とせずに認証された利用者として Webアプリケーション又はインターネット サービスにアクセスする攻撃手法です。
- 管理策例
永続的なクッキーを定期的に削除するようにブラウザ又はタスクを設定することにより、セッションCookieを認証トークンに悪用する機会を減らすことができます。
また、利用者がネットワークやコンピューティングリソースにアクセスしようとする試みを監視することにより検知できる可能性があります。
2-8. T1552 Unsecured Credentials(セキュアではない資格情報)
- 攻撃手法の概要
攻撃者が侵入したシステム内を検索して、(例えば、平文などの)セキュアではない状態で保管されている資格情報を探す攻撃手法です。
資格情報は、意図せず平文ファイル(Bash Historyなど)、オペレーティングシステム又はアプリケーション固有のリポジトリ、その他の特殊なファイル/アーティファクト(秘密キーなど)など、システム上の多くの場所に保存される可能性があるため、攻撃者はそれを探索します。
攻撃者による侵入は確認されていませんが、2018年にTwitter社が公表した事象「ハッシュ化前のパスワードをログに書き出すバグ」も意図せずパスワードが保存されていた事例にあたると考えます。
- 管理策例
開発者およびシステム管理者が、エンドポイントシステム又はサーバーに残る可能性のあるソフトウェア構成ファイルに平文パスワードを使用すること、レジストリ内への資格情報の格納、ファイルへのパスワードの保存に伴うリスクを認識するためにシステム開発のための個別方針などにより組織内ルールを周知することが有効だと考えます。
攻撃者による資格情報へのアクセスを検知することは難しいため、例えば、囮の(セキュアではない無効な)資格情報を窃取させ、その資格情報を使用したアクセスを検知するなどの工夫が必要になると思います。
3. 通信経路上での窃取(スニッフィング ・盗聴)
攻撃者が通信経路上の資格情報を窃取(詐取)する攻撃手法です。下図に攻撃のイメージを示します。
3-1. T1557 Adversary-in-the-Middle(中間敵対者)
- 攻撃手法の概要
ネットワーク上で通信相手を特定するために使用されるネットワークプロトコル(LANの場合はARP、インターネットの場合はDNSなど)を悪用し、2つのネットワークデバイスの中間に攻撃拠点(例えば、悪性のProxyサーバーによるフィッシングサイト)を配置し、ネットワークスニッフィングやデータ改ざんのための足場を築く攻撃手法です。一般的には中間者攻撃(Man In The Middle)と呼ばれ、資格情報へのアクセスに直接は関連しませんが、ネットワークスニッフィングによる資格情報の取得の前段となるため紹介します。
- 管理策例
ネットワークの分離など攻撃対象のリソースへのアクセスを適切に制限することにより、攻撃者は容易に侵入できなくなります。
また、ネットワークトラフィック上の不明(管理外)なデバイスからの発信を監視することにより検知できる可能性があります。
3-2. T1056 Input Capture(入力キャプチャ)
- 攻撃手法の概要
キーロガーと呼ばれるような利用者が入力した情報をキャプチャし、資格情報の取得・収集を行う攻撃手法です。 この機能が、RAT (Remote Access Trojan: 遠隔操作ウイルス)に含まれていることも多く、攻撃対象組織に侵入した後のラテラルムーブメントや権限昇格に利用されます。
- 管理策例
このタイプの攻撃手法は、システム機能の悪用に基づいているため、予防的制御による軽減が難しいと言われています。
Windows レジストリ キー又は値に加えられた通常とは異なる変更を監視することにより検知できる可能性があります。
3-3. T1040 Network Sniffing(ネットワークスニッフィング)
- 攻撃手法の概要
攻撃者は、ネットワーク トラフィックをスニッフィングする(システム上のネットワーク・インターフェースを使用して、有線又は無線接続を介して送信される情報をモニターやキャプチャする)ことにより、ネットワーク経由で受け渡しされる認証情報を窃取する攻撃手法です。
- 管理策例
全ての有線又は無線トラフィックが適切に暗号化されており、最適な認証プロトコルを使用し、資格情報を含む可能性のあるWebトラフィックをSSL/TLSによって保護することによりスニッフィングされる可能性を低減することができます。
ネットワーク経由で渡される認証情報などの情報をキャプチャするなど、ネットワークトラフィック上のスニッフィングに関連しそうなプロセスを監視することにより検知できる可能性があります。
3-4. T1566 Phishing(フィッシング)
- 攻撃手法の概要
利用者(一般的には、標的を絞らず多数)に対し悪意のある添付ファイルやリンクを含む電子メールを送信し、フィッシングサイトに誘導して資格情報を詐取しようとする攻撃手法です。
スピアフィッシングでは標的を特定の個人、組織に絞りその対象に即した内容の電子メールが送信されるため、なりすましを見破ることがより困難となります。
- 管理策例
なりすまし対策と電子メール認証技術を使用して、送信者ドメインの有効性チェック (SPF:Sender Policy Framework)やメッセージの整合性(DKIM:DomainKeys Identified Mail)に基づくメッセージのフィルター処理、加えてDMARC(Domain-based Message Authentication, Reporting and Conformance)ポリシーにより認証失敗時のアクションを明らかにしておくことでなりすましメールのフィルター処理の判断遅れを防止することができます。
他にも、フィッシングサイトへのアクセス拒否、メールに添付可能なファイル種類の制限なども従来から実施されることの多い管理策です。
近年、フィッシングメールは見破ることができないほど巧妙化しています。利用者に対し教育や注意喚起をする際には、フィッシングを見破るための着眼点だけではなくメール本文のリンクは極力クリックしないという基本的な対策を理解していただくことも必要です。
フィッシングに関する管理策については、以下のガイドラインが参考になります。
フィッシング対策協議会「フィッシング対策ガイドライン」
3-5. T1111 Multi-Factor Authentication Interception(多要素認証インターセプト)
- 攻撃手法の概要
T1056 Input Capture(入力キャプチャ)やT1040 Network Sniffing(ネットワークスニッフィング) の技術を利用し、多要素認証用の追加の認証情報を傍受する攻撃手法です。例えば、スマートカードによるワンタイムパスワードを入力時にキーロガーによりキャプチャしたり、帯域外通信(電子メール、SMS)による送信時にその送信を媒介するデバイスやサービスの脆弱性を悪用することにより傍受します。
- 管理策例
送信経路の暗号化や帯域外通信に使用されるデバイスの脆弱性対応を実施することにより、経路途中の傍受は防げますが上述の通りキーロガーに関しては予防的制御による軽減は難しいと思われます。
最近では、”T1557 Adversary-in-the-Middle(中間敵対者)”を利用し、SMSなどにより入手したワンタイムパスワードをフィッシングする大規模攻撃も観測されており、そのセキュリティ管理策として「FIDO2」や「クライアント証明書」などのPKIベースの認証の利用が有効とされています。
「攻撃者はAiTMフィッシングサイトをさらなる金融詐欺へのエントリポイントとして使用します」Microsoft Threat Intelligence Center (MSTIC)
まとめ
今回は、資格情報に関連する脅威と管理策について考えてみました。どちらも時間の経過とともに変化するため、攻撃手法については、MITRE ATT&CKなどの確認による脅威インテリジェンスの維持、有効な管理策についてはMITRE ATT&CKやNISTなどのガイドラインで最新の情報を確認し、組織内のルールを見直す必要があります。
また、攻撃手法を理解し、各フェーズに有効な管理策を検討することは組織全体として多層防御の構築に寄与します。
参考資料
本稿は、以下のサイト、文献を参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
MITRE ATT&CKフレームワーク
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations IA-5
