Kerberos 認証に対する攻撃と対策:KRBTGT Account Password Reset Scripts

日本でも標的型攻撃が大きな話題となっていますが、標的型メール等の入り口の話に終始していることが多いように思います。しかし、標的型攻撃対策の難しさは、1台のPCへの攻撃をきっかけに、徐々に重要な権限を獲得し、最終的にはイントラネット全体を奪われる点にあります。このような、権限を獲得する代表的な手段として、Pass-the-Hashと呼ばれる手法が知られています。   Pass-the-Hashは、LM認証やNTLM認証といった、Windows特有の認証システムの問題と考えられることが多いのですが、実際にはKerberosが攻撃の対象となることも少なくありません。   Kerberosでは、Ticket Granting Ticket (TGT)が重要な意味を持ちます。TGTはKerberosサービスのkrbtgtアカウントのパスワードに基づいた情報で暗号化することで保護されます。しかし、この情報を攻撃者が手に入れた場合、配下にあるすべてのアカウントにアクセス許すことになります。 このリスクを回避するためには、定期的にkrbtgtアカウントのパスワードをリセットすることが有効です。なお、悪用されているTGTを確実に無効化するためには、履歴から消去するために、リセットを2回行う必要があります。   krbtgtアカウントのパスワードをリセットした場合、新しいkrbtgtキーの配布遅延によるエラーが発生する場合があります。2015年2月にポストされたBLOG ”KRBTGT Account Password Reset Scripts now available for customers”では、安全にkrbtgtアカウントのパスワードをリセットするための” krbtgt account password reset script” を紹介しています。 Kerberosは安全性の高い仕組みですが、適切な運用が不可欠です。加えて、このBLOGでは、Pass-the-Hashなどの認証情報に対する攻撃の全般的な対策も紹介をしていますので、リファレンスされているドキュメントも合わせてご覧ください。   KRBTGT Account Password Reset Scripts now available for customers http://blogs.microsoft.com/cybertrust/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/   なお、MS14-068を使った同様の攻撃手法については、ソフトバンク・テクノロジーの辻さんが書かれている、こちらの記事が参考になると思います。   CVE-2014-6324 – 脆弱性調査レポート WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する調査レポート https://www.softbanktech.jp/information/2014/20141217-01/   Pass-the-Hashの対策をするためには、上記の対策を行うだけでなく、総合的な対策が必要となります。上記、BLOGで紹介されているPass-the-Hash対策を以下にリファレンスしておきます。ぜひ、一度目を通してください。 New Strategies and Features to Help Organizations…


信頼性の高いクラウド サービスの構築

本記事は、Trustworthy Computing のブログ “Building reliable cloud services” (2014 年 1 月 29 日公開) を翻訳した記事です。 David Bills (デビッド・ビルズ)、信頼性主任ストラテジスト オンライン サービスに携わるすべての人にとって、信頼性は常に最重要課題です。エンジニアリング チームは、堅牢なサービスを設計して構築し、稼働中のサイトのインシデントを最小限に抑えたいと考え、サービス プロバイダーは、予測可能な一貫性のある結果を提供することで顧客へのインシデントの影響を軽減したいと考えています。 マイクロソフトでは、現在ホワイト ペーパーの最新版『信頼性の高いクラウド サービスを設計するには』を公開しています。 このホワイト ペーパーでは、クラウド サービスを作成、導入、利用する組織に向けて信頼性の基本概念と信頼性の設計時プロセスについて説明しています。その目的は、クラウド サービスの信頼性を高める要因とプロセスについて、意思決定者が理解できるようにすることです。 ここで取り上げられている重要な概念の 1 つは、信頼性の向上を目指してサービスに回復性を組み込むことの重要性です。すべてのサービス プロバイダーは、信頼性の高いサービスをお客様に提供できるように取り組んでいますが、うまくいかないこともあるのが現実です。信頼性に関連する脅威がなくなることはありませんが、回復性の高いサービスが完全に機能し、お客様自身で作業の完了に必要な操作を実行できるようにすることが必要です。 サービスは次のことを考慮する必要があります。 お客様に与える障害の影響を最小限に抑える。 障害の影響を受けるお客様の数を最小限に抑える。 お客様がサービス全体を利用できなくなる時間を最小限に抑える。 重要なのは、既知の障害が発生したときに、自社のサービスがどのように稼働し、またどのように稼働すべきかについて組織が考えることです。たとえば、サービスが依存する別のクラウド サービスを利用できない場合、またサービスがプライマリ データベースに接続できない場合に、サービスが何をすべきかを考えます。トラフィックが突然増加し、容量が逼迫した場合は、サービスがどのように対応すべきかを考えます。 経験上、障害の主な原因は次の 3 つです。 デバイスおよびインフラストラクチャの障害 – 予想される障害や寿命末期のデバイスの障害から、不可抗力の自然災害や事故によってしばしは引き起こされる致命的な障害まで、多岐にわたります。 人為的なミス – 管理者のミスや、組織ではしばしば制御できない構成の間違いなどがあります。 ソフトウェアの欠陥 – 導入されているオンライン サービスのコードの不備やソフトウェア関連の問題などがありますが、これらはリリース前のテストである程度軽減できます。 これら 3 つの原因の影響と、それらに対処するための軽減戦略について組織が考察できるようにするために、マイクロソフトでは回復性のモデル化を推奨しています。このホワイト…


更なる透明性と制御の実現

本記事は、The Official Microsoft Blog の記事 “Enabling greater transparency and control” (2015 年 4 月 21 日公開) を翻訳した記事です。 2015 年 4 月 21 日 投稿者 スコット チャーニー – Corporate Vice President, Trustworthy Computing 過去数年間にわたり、私たちはセキュリティ環境の変化と進化を目の当たりにしてきました。サイバー脅威は資産の破壊を伴う新たな水準に達しており、政府はテクノロジーの保護者と悪用者のどちらにも機能しています。この変化する環境の最中、私はお客様との会話で、お客様は 1) 更なる透明性とデータの制御をプロバイダーに求めている、2) 最先端のセキュリティ対策をもってお客様のデータを保護する企業を求めている、という 2 つのテーマが浮かびました。 IT が、変わらず従業員にアプリや彼らが選択したデバイスを利用して生産性を向上しながら、企業の情報保護の必要性に取り組んでいる間、モバイル デバイスやクラウド アプリケーションの爆発的な普及は複雑さを増しています。長年、マイクロソフトにとって、セキュリティは最優先かつ製品開発プロセスの主要な要素とされてきました。当社の製品およびサービスには、強固な暗号化など、サイバー犯罪からお客様を保護するセキュリティ機能が搭載されており、当社はセキュリティ技術革新および信頼の境界の強化を推進し続けます。 今朝私は、RSA カンファレンス 2015 にて、マイクロソフトのクラウド顧客の更なる透明性とマイクロソフト クラウド上の企業データの制御を試みる、いくつかの新規および既存のセキュリティ技術革新について話しました。 透明性 昨年の RSA カンファレンスで述べたように、当社は現在のデータ アクセス ポリシーに関する率直な議論を強く支持します。この業界が、原則に基づいたセキュリティへのアプローチ、プライバシーおよび透明性を保つことが重要なのです。しかしまた、当社の透明性を拡張する機能と特長を活性化することも重要です。 今日、マイクロソフトは、ユーザーのアクティビティー ログ、運営管理およびポリシー関連の操作を強化したことを発表します。これにより、お客様とパートナーが活用でき、また、新しい…


2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は…


[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。 —————————————————- 8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS14-051 の Internet Explorer 用の累積的なセキュリティ更新プログラム 2976627 では、古いバージョンの Java ActiveX コントロールを利用している場合、警告を表示して利用をブロックするための、セキュリティ強化の機能変更が含まれています。現時点では、対象となる古い ActiveX コントロールは設定されていませんので、ブロックはされません。ただし、2014 年 9 月 9 日 (米国時間)/2014 年 9 月 10 日 (日本時間) から、古いバージョンの Java の ActiveX コントロールをブロック対象とする予定です。…