4 一般的なパスワード攻撃の手法
パスワード攻撃はあらゆる方向からやってきます。John the RipperやL0phtCrackのようなプログラムは、複雑なパスワードも破ることができ、パス・ザ・ハッシュ(PtH)のツールキットは、パスワードを破らなくても致命的な攻撃となりえます。よくある資格情報の悪用の手口について下記に概要を述べます。
総当たり攻撃とは、繰り返しパスワードを試してみることで、言葉(数字、文字、記号)を組み合わせ、ときには1秒間に数百万回もの推測を繰り返して一致するパスワードを探すこともあります。数学的に複雑なパスワードにすればするほど、破られにくくなります。
辞書攻撃は、任意の文字の組み合わせを計算する総当たり攻撃のような種類の攻撃とは反対に、いずれかの言語の辞書に載っている言葉に基づいてパスワード類推を行う方法です。
パス・ザ・ハッシュ(PtH)攻撃は、LinuxやUnixや他のプラットフォームでも発生しますが、主にWindowsのシステムでよく見られます。WindowsでのPtH攻撃は、NTLM、ケルベロスその他の認証プロトコルを介してシングルサインオン(SSO)を悪用します。Windowsでパスワードが作成されると、これがハッシュされ、セキュリティアカウントマネージャ(SAM)やローカルセキュリティ承認サブシステム(LSASS)処理のメモリ、資格情報マネージャ(CredMan)の保管庫、Active Directoryのntds.ditデータベースなどに保管されます。そのため、ユーザはWindowsのワークステーションやサーバにログオンする際に、どうしてもパスワードの資格情報の痕跡を残すことになります。PtH攻撃では、攻撃者は平文のパスワードを取得するためにハッシュを復号化しなくても、そのハッシュを手に入れてしまえばそのまま並列のシステムへのアクセスに流用することができます。ハッカーはRDPセッションの際に特権ユーザからRDPの資格情報を盗むことで、簡単に特権を昇格させることができます。
パス・ザ・チケット(PtT)とゴールデンチケット攻撃は、PtHと似ていますが、ケルベロスのチケットをコピーして、それをシステム内の横方向のアクセスに使うところが異なっています。ゴールデンチケット攻撃は、パス・ザ・チケット攻撃の亜種で、チケット発行の許諾を行うチケット(TGT)を暗号化するドメインコントローラのkrbtgtアカウントを盗むのです。こうして得た足掛かりを使い、ハッカーは好きなだけの期間、どんなレベルのアクセスに関してもアクセスチケットを自由に作成することができます。使い終わるたびに特権アカウントのパスワードを変更させることと最小特権の強制実施(異なる種類の特権と非特権アカウントの分離や、さらにいいのはエンドポイントから管理者権限を剥奪することなど)が、PtH、PtT、ゴールデンチケットといった攻撃を防ぐためには重要なセキュリティ制御なのです。
ソーシャルエンジニアリングのパスワード攻撃は、フィッシングやスピアフィッシングなどのことで、人をだまして、アクセスのために使う情報を開示させるよう仕向けることです。スピアフィッシング攻撃の被害者として有名なのは、ハッカー集団Fancy Bearから攻撃を受けた民主党全国委員会(DNC)、John Podestaなどです。Podesta氏の場合、まず「詐称者が彼のパスワードを使おうとしたがGoogleがその詐欺行為を検出して止めた」という警告の偽Gメールを受け取りました。その後、おそらくPodesta氏は不正なリンクをクリックしてパスワードを変更してしまい、そのために資格情報を盗まれ、のちにそれを使った厄介なメールがWikiLeaksに流出してしまったのです。