Golden TicketはWindows Active Directoryにおける深刻な権限昇進テクニックとして知られる。1990年代後半に発表されたNTLM認証から始まり、2000年代以降のActive Directory環境でより巧妙化した形で存在する。ここでは、その原理や検出方法について詳しく解説する。
この記事の目次
- Golden Ticketの仕組み
- Golden Ticketの検出
- Golden Ticketの展開過程
- 他の資格証明と比較
- まとめ
Golden Ticketの仕組み
Golden Ticketは、ネットワーク管理者が利用する特権を持つサービスアカウントを不正に操作することで生成される。
具体的には、攻撃者はActive Directoryから取得したセッションキーを利用してTGT(トリストグラニュラーチケット)を作成し、その有効期限や属性を改ざんしてGolden Ticketとする。
Golden Ticketの検出
Golden Ticketを検出するためには、ネットワーク上の活動やイベントログに注意を払うことが重要です。
例えば、非アクティブなユーザーアカウントが突然管理者権限を持つようになったり、異常なセッションキーが観測された場合は疑い深い。
Golden Ticketの展開過程
攻撃者はまず、組織内の脆弱なアカウントを特定し、これを乗っ取ることから始める。
その後、Active Directoryからセッションキーを不正に取得し、TGTの有効期間や属性を改ざんしてGolden Ticketを作成。これにより管理権限を持つことが可能になる。
他の資格証明と比較
Golden TicketとPass-the-Hashの比較において、前者は後者よりも高度な権限を獲得できる一方で、後者はより簡単な攻撃であるという特徴がある。
また、Golden Ticketによる侵害は組織全体に対して影響を及ぼすが、Pass-the-Hashは特定のアカウントに限定されることが多い。
まとめ
Golden Ticketは高度なネットワーク権限昇進技術として、セキュリティ対策において常に注意すべき脅威である。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント