ゴールデンチケット攻撃の全貌と対策：KRBTGTハッシュ窃取からKerberos横展開までの実践ガイド

はじめに — ゴールデンチケット攻撃とは

ゴールデンチケット攻撃（Golden Ticket attack）は、WindowsドメインにおけるKerberos認証の根幹を突く高度な侵害手法です。攻撃者がドメインのKRBTGTアカウント（Kerberos Key Distribution Center がTGTを暗号化／署名するためのアカウント）の認証情報（鍵やハッシュ）を入手すると、任意のユーザになりすまして有効なチケット（特にTicket Granting Ticket：TGT）を偽造できます。これにより、恒久的かつ検出が難しいドメイン内横展開と権限昇格が可能になります。

技術的背景：Kerberosの基本とKRBTGTの役割

Kerberosは「TGT をまず取得し、TGT によってサービス用チケット（TGS）を取得する」フローを基本とする認証プロトコルです。ドメインコントローラ（KDC）は、KRBTGTアカウントの秘密鍵でTGTを暗号化／署名します。クライアントは認証を受けるとKDCからTGTを受け取り、そのTGTを使って各サービスのチケットを発行してもらいます。

KRBTGTアカウントの鍵（nt hash や AES鍵）は、TGT の有効性を検証するための「ルート鍵」です。攻撃者がこの鍵を掌握すれば、KDCの真似をして任意ユーザのTGTを作成でき、KDCが発行した本物のTGTと区別がつかないため、ほぼ全てのKerberosベースのアクセスが得られます。

攻撃の典型的な流れ

• 初期侵入：標的ネットワークの平凡なアカウントや公開された脆弱性を突いて足がかりを得る。
• 横展開と特権取得：Credential Dumping（LSASSメモリダンプ、NTDS.ditの吸い上げ）、DCSync（Directory Services Replication API を用いたアカウント複製要求）などにより、ドメイン管理者権限やKRBTGTのハッシュを窃取。
• ゴールデンチケット生成：取得したKRBTGTの鍵を使って、任意のユーザ（例：Domain Admin）のTGT を生成（Mimikatz、Rubeusなどのツールが利用される）し、社内の任意マシンやサービスにアクセス。
• 持続的アクセス：生成したTGTは長期間（攻撃者が設定可能な期限）有効にできるため、侵害の持続化や検出回避に利用される。

攻撃に使われる主な手法・ツール

• DCSync：ドメインコントローラになりすましてパスワードハッシュなどをレプリケートさせる技術（MimikatzのDCSync機能など）。
• NTDS.dit吸出し：ドメインコントローラからADデータベースを取得してハッシュを抽出。
• Mimikatz：KRBTGTハッシュ取得やゴールデンチケット生成で広く使われるツール（Benjamin Delpy 開発）。
• Rubeus：Kerberos操作に特化したC#ツールで、チケット生成や注入に使用されることが多い。

検出方法と難しさ

ゴールデンチケット攻撃の検出は難易度が高いです。正規のKDCが発行したものと見分けが付かないチケットを攻撃者が作れるためです。しかし、以下のような兆候やログ分析で疑いを持つことができます。

• 異常に長いチケット有効期間：攻撃者はTGTの有効期限を通常よりも長く設定できるため、KDC発行の通常のパターンから外れた長寿命のTGTは疑わしい。
• Eventログの不整合：Windows の監査イベント（例：イベントID 4768：Kerberos 認証チケットの要求）におけるTicket Optionsや暗号化タイプ、kvno（Key Version Number）の異常。kvno の不一致や不自然な値の変化は注目すべき。
• 偽造チケットによるサービスへのアクセス元が通常と異なる：高権限アカウント（Domain Admin 等）が普段使わないホストやIPからセッションを作っている場合。
• DCSyncやNTDSアクセスの痕跡：レプリケーションリクエストや大きな DB エクスポートを示すログ。
• EDR/プロセス監視：Mimikatz や Rubeus に類するツールの実行痕跡を検出。

ただし、攻撃者はログを消去したり、正規プロセスを悪用して活動を隠すことが可能なため、単純なログ監視だけでは検出できないケースが多い点に注意が必要です。

代表的なWindowsイベントと注目すべきフィールド

• イベントID 4768（Kerberos 認証チケット（TGT）要求） — Ticket Options、RenewableUntil、Enctypes、Ticket Encryption Type、KeyVersionなど。
• イベントID 4769（Kerberos サービスチケット要求） — サービスチケット発行状況。
• イベントID 4624（ログオン成功）および 4672（特権割当） — 高権限アカウントの通常と異なるログオン。

これらのログを相関させ、特にKVNOの急変、異常に長い有効期限を持つTGTの発行痕跡、DCSync関連の操作の有無を確認することが重要です。

被害の規模と影響

ゴールデンチケットが成功すると、攻撃者はほぼ制御不能に近いドメイン内アクセスを得られます。ドメイン管理者の資格情報を直接奪う以上に危険なのは、偽造されたTGTによりログイン履歴に残らない形で横展開できる点や、長期的に持続するアクセスが許容される点です。財務情報や個人情報の窃取、システム改変、バックドア設置、インシデントの覆い隠しなどが発生し得ます。

対策とベストプラクティス

ゴールデンチケットを完全に防ぐことは難しいですが、リスクを大幅に低減するための実践策は存在します。

• 最小権限の原則：ドメイン管理者やレプリケーション可能な権限（DCSync権限）を厳格に制限し、通常業務で使わないアカウントにそれらの権限を付与しない。
• 特権アカウントの分離（Tiered Model）：例えば「ワークステーション管理」「サーバ管理」「ドメイン管理」のように管理レイヤーを分離し、横展開時の影響を局所化する。
• パスワード・鍵のローテーション：KRBTGTパスワードのリセット（後述）や重要サービスアカウントの定期的な変更。ただしKRBTGTの取り扱いは慎重に。
• 監査と検出体制の強化：Kerberos関連の監査ログを集中収集・相関し、不自然なTGTの発行やDCSync要求をアラート化する。
• EDR/サンドボックスによりツール実行を阻止：MimikatzやRubeus の実行兆候を検知・ブロック。
• 多要素認証（MFA）の推進：対話式ログオンやリモートアクセスにMFAを適用し、認証情報の盗用リスクを低減。
• 脆弱性管理とパッチ適用：初期侵入の経路を減らすことが重要。

インシデント対応：KRBTGTのリセット（「2回リセット」の理由）

KRBTGT アカウントのパスワードを変更（リセット）することは、ゴールデンチケット対策の代表的な対応です。しかし単に一度だけリセットするのでは不十分で、Microsoft 等のガイダンスでは「2回リセット（連続して2回、ある程度の時間を置いて実施）」を推奨しています。理由は次の通りです。

• Active Directory の KRBTGT アカウントは過去の鍵をある期間保持しており、KDC は旧鍵で暗号化された票（旧 TGT）も一定期間検証できる場合があるため、単回のリセットでは過去に生成されたゴールデンチケットがすぐには無効化されない。
• キーのロールオーバーが行われ、環境内に二つの鍵（新旧）が一時的に存在する期間があるからで、2回のリセットにより攻撃者が保持している旧鍵で作成されたチケットを無効化できる可能性が高まる。

実運用では、KRBTGTパスワードの二回連続リセットは影響範囲が大きく、慎重な計画、バックアップ、ADレプリケーション状況の確認、全ドメインコントローラの同期待ち、サービスの再認証対応等が必要です。さらに、リセット後も既存の攻撃痕跡（バックドア、悪用された管理者アカウントなど）を根絶しないと、再度鍵が盗まれる可能性があります。したがって、KRBTGTリセットは包括的なインシデント対応（フォレンジック・痕跡除去・権限の再編成）とセットで行うべきです。

検出技術の高度化例（実践的検討）

• kvno 変化の監視：krbtgt のキー バージョン番号（kvno）が突然変更された場合や、不自然なチケットの kvno を検出する。
• 異常な暗号化タイプの利用：環境で通常使われない暗号化方式（例：rc4／old-encryption）を使ったチケット発行を検知。
• ベースライン外のチケット有効期間：組織のポリシー（MaxTicketAge など）と異なる長期チケットをアラート。
• DCSync レプリケーション要求のモニタリング：Replica/DS進行の不審なリクエストを検出。
• EDRとログ相関：LSASS メモリダンプの痕跡、プロセスインジェクション、管理ツールの不審な使用をログと突合。

まとめ — 現実的な姿勢と運用上の勧め

ゴールデンチケット攻撃は技術的に高度で破壊力が高く、単一の対策で完全に防げるものではありません。ポイントは「侵入されにくい仕組み」と「侵入された後に被害を食い止める仕組み」の両方を強化することです。具体的には権限管理の徹底、Kerberos監査の強化、EDRとSIEMによる相関分析、そしてインシデント発生時のKRBTGTリセットを含む周到な対応計画の整備が重要です。

最後に、KRBTGTの取り扱い（特にリセット）は慎重な作業が必要であり、実施前に必ず影響範囲を評価し、必要に応じて専門家と連携して実施してください。

参考文献

• Microsoft: イベント ID 4768 の説明（Kerberos 認証チケット要求）
• Microsoft: Resetting the krbtgt account password and considerations
• Microsoft: Kerberos 認証の概要
• Mimikatz（GitHub） — KRBTGTハッシュ抽出やチケット操作でよく使われるツール
• Rubeus（GitHub） — Kerberos 操作用ツール
• CrowdStrike: What is a Golden Ticket attack?

投稿者プロフィール

エバープレイ編集部

最新の投稿

• 音楽2025.11.25ドヴォルザーク徹底ガイド：生涯・作風・代表曲・聴きどころと名盤の楽しみ方
• 音楽2025.11.25チャールズ・アイヴズ：保険業と作曲家としての二重生活が生んだアメリカ音楽の革新
• ゲーム2025.11.25ファイナルファンタジーIを深掘りする：開発背景・ゲームシステム・音楽・アート・影響を総括
• ファッション2025.11.25ガウンコート徹底解説：特徴・素材・選び方と着こなし術