パス・ザ・ハッシュ (PtH) とパス・ザ・チケット (PtT) とは何ですか？

パス・ザ・ハッシュ（PTH）およびパス・ザ・チケット（PTT）攻撃は、認証プロトコルを悪用する手法です。このガイドでは、これらの攻撃の仕組み、セキュリティへの影響、および予防策について探ります。

認証情報の保護と不審な活動の監視の重要性について学びましょう。PTHおよびPTT攻撃を理解することは、組織がシステムを保護するために不可欠です。

組織は、強力なアクセス制御を実施し、高度な脅威検知・監視ツールを導入し、セキュリティプロトコルを定期的に更新することで、これらの隠密な戦術を阻止しなければなりません。これにより、組織はPTHおよびPTTがもたらす持続的かつ進化する脅威に対してより効果的に防御し、機密データとネットワークの完全性を保護できます。

ハッシュ渡し（PtH）とチケット渡し（PtT）の違い

PtHとPtTはどちらもサイバーセキュリティで用いられる悪意のある手法ですが、共通の特徴を持ちつつも、その焦点と実行方法が異なります。PtHとPtTは以下で使用されます：

• 認証攻撃 – PtHとPtTはどちらも認証ベースの攻撃であり、ネットワーク内のユーザーやシステムの身元を検証するために使用されるメカニズムを標的とします。
• 横方向の移動 –どちらの攻撃も 横方向の移動ネットワーク内での横方向移動を可能にします。初期アクセスを取得すると、攻撃者は盗んだ認証情報（ハッシュ値やチケット）を使用して横方向に移動し、他のシステムやリソースにアクセスします。
• 検知回避 –PtHとPtT攻撃は本質的にステルス性が高く、平文パスワードの取得を回避できるため、検知が困難です。

PtHとPtTは以下の点で異なります：

• 標的 — PtHは主に侵害されたシステムからハッシュ化されたパスワードを窃取することを目的とする一方、PtTはWindowsドメイン環境内での認証チケットの窃取と悪用を目的とする。
• 認証情報– PtHでは攻撃者は盗んだパスワードハッシュを認証に使用するのに対し、PtTではユーザーまたはサービス認証用に生成されたKerberosチケットを悪用します。
• 範囲– PtH攻撃はWindowsドメイン以外の様々なプラットフォームやシステムを標的とできるため、より広範な範囲で展開されます。PtT攻撃はWindowsドメイン環境に特化した攻撃です。

PtHとPtTはいずれも、サイバー攻撃における横方向の移動（ラテラルムーブメント）や権限昇格（プリビレッジエスカレーション）を実現する危険な戦術です。認証を侵害するという共通の目的を持ちつつ、PtHはパスワードハッシュの窃取を、PtTはWindowsドメイン内での認証チケットの悪用をそれぞれ主眼としています。これらの手法の違いと類似点を理解することは、効果的なサイバーセキュリティ防御とインシデント対応に不可欠です。

Pass-the-Hash (PtH) と Pass-the-Ticket (PtT) の概要

PtHとPtT攻撃が注目を集め始めたのは1990年代初頭、サイバー犯罪者やセキュリティ研究者がWindowsオペレーティングシステムにおける認証情報の処理方法に内在する弱点を認識し始めた頃である。PtHは侵害されたシステムからハッシュ化されたパスワードデータを抽出する手法として登場した。攻撃者はこれらのハッシュ値を再利用し、平文パスワードを必要とせずに他のシステムで自身を認証することが可能となった。p>一方PtTは、主にKerberos認証プロトコルを使用するWindows環境を標的とする。これはユーザーまたはサービス認証時に生成される認証チケットの窃取と悪用を伴う。攻撃者はKerberosチケット発行システムの欠陥を悪用し、正当なユーザーやサービスを装ってシステムやリソースへの不正アクセスを可能にする。

現代のサイバーセキュリティ環境において、PtHおよびPtT攻撃は依然として強力な脅威です。攻撃者はこれらの技術を洗練させ、高度持続的脅威（APT）(APT)キャンペーンやランサムウェア攻撃は、ネットワークセキュリティの脆弱性を悪用したり、ソーシャルエンジニアリングの手法を用いて初期アクセスを獲得することが多い。ネットワーク内部に侵入すると、横方向の移動、権限昇格、データ窃取のためにPtH（パスワードハッシュの横流し）およびPtT（認証チケットの横流し）攻撃を利用する。

PtHおよびPtT攻撃の重要性は、ハッシュ化された認証情報や認証チケットを活用することで従来のセキュリティ対策を迂回し、検知を回避できる点に裏付けられている。これらの攻撃に対する防御には、強力なパスワードポリシー、定期的なセキュリティ更新、堅牢なアクセス制御、高度な脅威検知システムなど、多角的なアプローチが必要です。

Pass-the-Hash (PtH) と Pass-the-Ticket (PtT) の仕組みを理解する

PtH と PtT は、サイバーセキュリティ、特に Windows 環境において不正アクセスや権限昇格を可能にする高度な悪意のある戦術です。これらの技術は当初、Windows認証システムを侵害する隠密手法として開発され、その後サイバーセキュリティ環境における持続的脅威へと進化しました。

PtHおよびPtT攻撃は、攻撃者がネットワーク内のシステムやリソースへの不正アクセスを得るために使用する技術です。NTLM（NT LAN Manager）はその固有の脆弱性から、これらの攻撃の標的となることがよくあります。以下に、これらの手法の動作に関する詳細な技術的説明を示します：

パス・ザ・ハッシュ（PtH）

• 初期認証情報の窃取 –PtH攻撃は通常、攻撃者がWindowsシステムへの初期アクセス権を取得することから始まります。その手段としては、フィッシング、マルウェア感染、またはソフトウェアの脆弱性を悪用することです。システム内部に侵入すると、攻撃者の目的はシステムにローカルに保存されているハッシュ化されたパスワードデータを盗むことです。Windowsは、平文パスワードを明かさずに認証を容易にするため、パスワードのハ目的は、システムにローカル保存されているハッシュ化されたパスワードデータを盗むことです。Windowsは認証を容易にするため、平文パスワードを明かさずにメモリ内にパスワードのハッシュ表現を保存します。
• ハッシュキャプチャ —攻撃者は、システムメモリからハッシュ化されたパスワードデータを抽出するために様々なツールや手法を使用します。よく使われるツールの一つがMimikatz>で、Windowsシステムから認証情報を取得できます。
• ハッシュの利用 – 取得したパスワードハッシュがあれば、攻撃者は実際の平文パスワードを知らなくても済みます。代わりに、このハッシュを認証試行に直接使用します。
• 攻撃者は盗んだハッシュを、アクセスしたいターゲットシステムに送信し、正当なユーザーを装います。ターゲットシステムは攻撃者が提供したパスワードをハッシュ化し、保存済みのハッシュと比較して認証を行います。
• アクセス獲得 –ハッシュが一致した場合、攻撃者は被害者の平文パスワードを必要とせずに、標的システムやリソースへの不正アクセス権を獲得します。
• 攻撃者はこのアクセス権を利用して、ネットワーク内を横方向に移動し、権限を昇格させ、機密データにアクセスすることがよくあります。

パス・ザ・チケット (PtT)

• Kerberos認証– PtT攻撃は主に、Kerberos認証プロトコルを使用するWindows環境を標的とします。Kerberosは、シングルサインオンや安全な認証のためにActive Directory（AD）環境で一般的に使用されています。
• 初期チケットの作成– ユーザーが Windows システムにログインすると、Kerberos 認証プロセスはユーザー向けにチケット付与チケット (TGT) を生成します。この TGT は、ユーザーとキー配布センター (KDC) のみが知る長期秘密鍵（通常はユーザーのパスワードハッシュ）で暗号化されます。
• チケット抽出 –PtT攻撃では、攻撃者は初期アクセスを得た侵害済みシステムのメモリからこのTGTをキャプチャすることを狙います。
• 攻撃者はMimikatzなどのツールを使用してメモリからTGTを抽出します。
• チケットの使用 – 盗んだTGTを入手した攻撃者は、そのTGTに関連付けられた正当なユーザーになりすますことができます。攻撃者は特定のリソースに対するサービスチケットを要求する際、KDCにこのTGTを提示します。
• サービスチケット要求 –TGTを信頼するKDCは、攻撃者が要求するリソースに対するサービスチケットを発行します。これらのサービスチケットは、TGTから導出されたセッションキーで暗号化されます。
• リソースへのアクセス –有効なサービスチケットを入手した攻撃者は、正当なユーザーであるかのようにネットワークリソースやシステムにアクセスできます。これにより、ネットワーク内で横方向に移動し、追加のシステムを侵害する可能性があります。

PtH攻撃とPtT攻撃はいずれも、攻撃者が被害者の平文パスワードを知らなくても活動できる点で特に懸念されます。これらの攻撃を軽減するには、強力なパスワードポリシー、定期的なセキュリティ更新、堅牢なアクセス制御、および 高度な脅威検知システムなどです。さらに組織は、PtHおよびPtT攻撃を迅速に検知・対応するため、認証情報の窃取や異常な認証活動の兆候を監視すべきです。

PtHおよびPtT攻撃に関連するリスクから保護するため、企業はいくつかの対策を実施しています：

• 強固な認証 –多要素認証（MFA）(MFA) および二要素認証 (2FA) を採用することで、パスワードを超える追加のセキュリティ層が提供されます。
• 最小権限アクセス — ユーザーのアクセス権限と特権を制限することで、認証情報の侵害による被害を最小限に抑えることができます。&
• 特権アクセス管理（PAM）– PAMソリューションは、特権アカウントとアクセス.
• ネットワークセグメンテーション –重要システムを重要度の低いシステムから分離することで、ネットワーク内での横方向の移動を制限できます。
• 定期的な認証情報のローテーション – 定期的なパスワード変更を義務付けるポリシーを実施することで、PtH（パスワード・ハイジーン・ホールディング）およびPtT（パスワード・トランスポート・ホールディング）攻撃の機会を減少させます。
• セキュリティ意識向上トレーニング– 従業員に対し、PtHおよびPtT攻撃のリスクと強固なパスワード管理の重要性について教育することが不可欠です。
• 侵入検知システム –高度な侵入検知システムを導入することで、PtHおよびPtTの試みを検知・阻止できます。

結論

パス・ザ・ハッシュ（PtH）およびパス・ザ・チケット（PtT）攻撃は、現在のデジタル領域における持続的な脅威です。NTLMやKerberosなどの認証プロトコルを標的とするこれらの手法は、サイバー攻撃の進化する性質と継続的な警戒の必要性を浮き彫りにしています。

PtHとPtTは認証メカニズムの脆弱性を悪用し、攻撃者がネットワークに密かに侵入し、横方向に移動し、権限を昇格させ、機密性の高いシステムやデータへの不正アクセスを得ることを可能にします。その結果は、データ侵害や金銭的損失から評判の毀損に至るまで、非常に深刻なものとなり得る。

PtHおよびPtT攻撃は、サイバーセキュリティ環境が変化し続ける戦場であることを痛烈に思い知らせる。これらの脅威から身を守るためには、個人や組織は警戒を怠らず、積極的なセキュリティ対策を取り入れ、サイバーセキュリティの専門家と協力しなければならない。PtHおよびPtT攻撃に先手を打つことは重要であるだけでなく、執拗な敵対者に対峙するデジタル世界の安全を守る鍵なのです。data-sys-entry-locale="en-us" data-sys-content-type-uid="global_cta" sys-style-type="inline">

ハッシュの受け渡しとチケットの受け渡しのFAQ