トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Pass the Hash のバックアップ(No.15)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?

・Pass the Hash

戦術

水平展開

対象OS

  • Windows

必要なアクセス許可

User Administrator

概説

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。
攻撃者は、ツールを使いメモリ上やレジストリのSAM(Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカル Administrator は端末の管理を容易にするため、全社的に統一されている場合が多く見受けられますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

緩和の方針

Pass the Hash は拡散を防止する観点から、最も重要な防御、緩和策のひとつです。

  • Mimikatz、PWDump7などの攻撃ツールが公開されており、保存されているパスワードやパスワードのハッシュ値を窃取するために、多角的な攻撃が存在します。このため、多重防御が必要です。
  • 資格情報管理する LSASS プロセスへの攻撃を防ぎ、資格情報を極力保持しないことが重要です。

運用やNetworkが変更された場合の影響の有無

  • 各端末において、ローカルのAdministratorのパスワードが同一の場合、拡散のリスクが高まります。
  • ビルトイン Administrators を使用した場合、攻撃のリスクが高まります。

優先すべき措置

①Hashの取得阻止、②取得された場合の水平展開、③垂直展開(特権アカウントに対する侵入)の阻止の観点で防御を講じます。

Hashの取得阻止

  • Windows Defender Credential Guard (Windows 10の場合、Enterprise Edition のライセンスが必要です。Windows Server 2016/2019はライセンスが付与されています。)
  • LSA 保護モードの有効化
  • 一般ユーザーをローカル Administrators に所属させません。

水平展開の阻止

  • 既定の Local Administrator を無効化します。
  • ローカルアカウントのネットワーク越しの操作とログオンを制限します。

垂直展開の阻止

  • 組織内の権限を分離します。
  • 特権アカウントを保護します。

ユーザー運用管理責任

リスクの受容

  • Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻撃手法であり、拡散防止の観点からリスク受容は困難です。

啓発・教育

  • 「一般ユーザーをローカル管理者グループから外す」ことで、アプリケーションのインストールや各種設定の際に手間が増えますが、最も安価かつ最も攻撃の耐性が高くなることについて、理解を求めてください。
  • 「一般ユーザーをローカル管理者グループから外す」を実施しないことで、コストの高いシステム監査が必要になることについても理解を得てください。

利用規定

  • 端末管理規定に「一般ユーザーをローカル管理者グループから外す」措置を実施しない端末の文書化を追加します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー ①LSASS保護 + 認証情報の削減

対策目的対策の効果対策作業量
Windows Defender Credential Guard独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。
※Windows 10 Enterprise エディションが必要
Windows Defender Credential Guard によるドメインの派生資格情報の保護:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard
非常に高い
LSA 保護モードの有効化LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。
(レジストリで有効化)
既定の Local Administrator の無効化既知のアカウントを狙った攻撃を防ぎます。
一般ユーザーをローカル管理者グループから外す資格情報窃取やシステムへの攻撃を防ぎます。非常に高い
セキュリティ更新プログラムの適用脆弱性を悪用する攻撃を防ぎます。
※特に特権昇格、情報漏洩、バイパスの脆弱性
平文パスワードを保存しないLSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。
グループポリシーで[管理用テンプレート]>[MS Security Guide]>[WDigest authentication]を無効にします。
※Windows 8.1, Windows Server 2012 R2 以降は既定で有効
LM ハッシュを保存しないLM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。
※次回のパスワード変更時に LAN Manager のハッシュ値を保存しない
※Vista、Windows Server 2008R2 以降は既定で有効
ログオフ後の資格情報消去ユーザーのログオフ後に LSASS メモリから消去します。
※Windows 8.1, Windows Server 2012 R2 以降は既定で有効
NTLMプロトコルを無効にするNTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。
※NTLM認証に依存する実装は多数あることから、事前に十分な検証と使用実態の監査が必要です。
ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic
ARSO 無効化Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。

ポリシー ②水平展開の阻止

対策目的対策の効果対策作業量
・LAPS
Local Administrator Password Solution
攻撃者がドメイン内の異なる端末へ侵入を広げる機会を減らす中~高
ローカルアカウントのネットワーク越しの操作制限、ログオン防止遠隔地にいる攻撃者がローカル管理者を悪用することを防ぐ
※新しい well-known SIDs の活用

ポリシー ③縦展開防止対策

対策目的対策の効果対策作業量
組織内の権限を分離する攻撃者がドメイン内の異なる端末へ侵入を広げる機会を減らす非常に高い
特権アカウントの保護特にドメイン管理権限を保護非常に高い
高い権限を持つ端末の要塞化高い権限を扱う端末を要塞化することで攻撃者の機会を減らす中~高
リモートセッション資格情報保護侵害にあっている端末へ接続をしてくるユーザーの資格情報を盗まれないようにする

NWデザイン

  • 該当なし

アクセスコントロール

フィルタリング

  • 該当なし

ロール運用

LAPS導入後、端末のローカル管理者の Password 管理が許可されるシステム管理者、ヘルプデスク担当者のロールを設定してください。

仮想端末運用

  • 該当なし

エンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。