Kerberoasting検出：10年来の課題への新たなアプローチ

セキュリティ専門家はKerberoastingについて10年以上も議論してきましたが、この攻撃は依然として一般的な防御手法をすり抜け続けています。なぜでしょうか？それは、既存の検出方法が脆弱なヒューリスティックや静的ルールに依存しており、変動の大きいKerberosトラフィック内の潜在的な攻撃パターンを検出するには不十分だからです。これらの方法はしばしば誤検知を多発させたり、「ローアンドスロー」型の攻撃を完全に見逃したりします。

現代の組織が不規則なKerberosトラフィック内の微妙な異常をより正確に検出する、より良い方法はあるのでしょうか？BeyondTrustの研究チームは、セキュリティ研究の知見と高度な統計手法を組み合わせることでこの問いに取り組みました。本記事では、私たちの研究を推進した背景や、Kerberosの異常検出精度を向上させ誤検知を減らすための新しい統計フレームワークの開発・検証プロセスについて、高い視点からご紹介します。

Kerberoasting攻撃の概要 #

Kerberoasting攻撃は、Windows Active Directory環境におけるKerberosネットワーク認証プロトコルの仕組みを悪用します。Kerberos認証プロセスは以下のように動作します：

1. AS-REQ: ユーザーがログインし、チケット授与チケット（TGT）を要求します。

2. AS-REP: 認証サーバーがユーザーの資格情報を検証し、TGTを発行します。

3. TGS-REQ: ユーザーがサービスへのアクセスを要求する際、先に受け取ったTGTを使ってサービスチケット（TGS）を要求します。この操作はドメインコントローラー上でWindowsイベント4769^[1]として記録されます。

4. TGS-REP: TGSが要求を検証し、要求されたサービスに紐づくサービスアカウントのパスワードハッシュで暗号化されたTGSを発行します。

5. KRB-AP-REQ: ユーザーがTGSチケットを使ってサービスに認証するために、アプリケーションサーバーにチケットを送信し、サーバーはユーザーの正当性を検証し、要求されたサービスへのアクセスを許可します。

攻撃者はこのプロセスを悪用しようとします。なぜなら、Kerberosサービスチケットはサービスアカウントのパスワードハッシュで暗号化されているからです。攻撃者はまずLDAP（Lightweight Directory Access Protocol）を利用して、サービスプリンシパル名（SPN）が関連付けられているADアカウントをディレクトリから検索します。その後、これらのアカウントに対してTGSチケットを要求しますが、これは管理者権限がなくても可能です。サービスチケットを入手した攻撃者は、そのハッシュをオフラインで解析し、サービスアカウントの認証情報を特定できます。サービスアカウントへのアクセスを得た攻撃者は、横移動、権限昇格、データの持ち出しなどが可能になります。

従来のヒューリスティック手法の限界#

多くの組織では、異常なKerberos挙動を検知するためのヒューリスティックベースの検出手法を導入しています。一般的な方法の一つがボリュームベース検出で、単一アカウントからのTGS要求の急増を検知します。攻撃者がLDAPを使って見つけたすべてのサービスプリンシパル名に対しTGSチケットを要求した場合、この方法でその急増を不審な活動として特定できる可能性があります。もう一つの方法は暗号化タイプの分析で、攻撃者がデフォルトのAESからRC4やDESなどの弱い暗号方式にTGSチケットの暗号化をダウングレードしようとした場合、それを検知します。これは、攻撃者がハッシュを解析する際の手間を減らすためです。

これらの静的ルールベースの方法は一部のケースでは有効ですが、悪名高いほど多くの誤検知を生み出します。さらに、ユーザーごとの行動や各組織独自のドメイン構成に特有の不規則性を考慮していません。

Kerberoasting攻撃検出のための統計モデル#

これらの限界を踏まえ、BeyondTrustの研究チームは、異常検出能力を高めつつ誤検知を減らす方法を模索しました。最適な手法は統計モデリングであり、コンテキストデータのパターンに基づいて確率分布を推定できるモデルを作成することでした。通常のユーザー行動を予測できることが、異常を検知する鍵となります。

私たちのチームは、既存のKerberoasting研究^{[2, 3]}に基づき、統計モデルに求める4つの制約を定めました：

1. 説明可能性：認識され、正規化され、説明・追跡が容易な指標で出力を解釈できること。
2. 不確実性：出力が単なるバイナリ指標ではなく、サンプルサイズや推定値の信頼度を反映できること。
3. スケーラビリティ：実行ごとにモデルパラメータを更新する際のクラウド計算・データストレージの必要量を制限できること。
4. 非定常性：時間経過によるトレンドやデータの変化に適応し、それを異常定義に組み込めること。

BeyondTrust研究チームはこれらの制約に沿ったモデルを構築し、最終的には類似したチケット要求パターンをグループ化し、ヒストグラムビンで特定の活動レベルの頻度を時系列で追跡するモデルを開発しました。目標は、各クラスターごとに「通常」の状態を学習することです。類似したデータパターンをまとめることで、単独では不審に見えるイベントも、同様のパターンと比較することで通常のものと判断でき、誤検知を減らすことを目指しました。

Kerberoasting統計モデル：結果#

チームはこのモデルを50日分のデータ、約1,200の1時間評価期間でテストしました。モデルの結果は以下の通りです：

• ヒストグラムの更新、クラスタリング、スコア計算、パーセンタイル順位付け、結果保存を含め、常に30秒未満の処理時間を達成。
• 狭い時間枠での非相関的な急増、分散の増加、一時的な大きな変動など、顕著な時間的パターンを持つ6つの異常を特定。うち2件はペネトレーションテスト、1件はチームによる模擬Kerberoasting攻撃、残り3件はActive Directoryインフラの大規模変更によるKerberosサービスチケット要求の急増が原因でした。
• ヘビーテイル型アカウントの極端な変動にも非常にうまく対応し、動的スライディングウィンドウ更新とリアルタイムパーセンタイル順位付けにより、2回連続の急増を観測しただけで異常スコアを適切に低減。この適応性は標準的な異常検出手法よりも明らかに高速です。

この研究を通じて、BeyondTrust研究チームはセキュリティ専門知識と高度な統計技術を組み合わせることで、早期の成功を報告できました。純粋な異常検出手法には本質的な限界があるため、セキュリティとデータサイエンスの専門家の協力が不可欠でした。統計学者は多様な行動を考慮した適応型モデルを作成できますが、セキュリティ研究者はフラグが立てられたイベント内の注目すべき特徴を特定するための文脈を提供できます。

結論#

総じて、この研究はKerberoastingのような10年来の攻撃パターンであっても、検出・対応能力を進化させていく明確な道筋があることを証明しています。本研究で紹介したような新しい検出能力の可能性を検討するだけでなく、Kerberoastingリスクを未然に低減する積極的なアイデンティティセキュリティ対策の評価も重要です。

アイデンティティ脅威検出と対応（ITDR）機能を持つソリューション、例えばBeyondTrust Identity Security Insightsなどは、サービスプリンシパルの不適切な利用や弱い暗号の使用によりKerberoastingに脆弱なアカウントを事前に特定するのに役立ちます。

精度の高い積極的な対策と、よりスマートで文脈を考慮した検出モデルの組み合わせは、セキュリティチームがノイズを排除し、増大する複雑さと規模に先んじて対応し続けるために不可欠です。

著者について：

Christopher Calvani, アソシエイトセキュリティリサーチャー, BeyondTrust

Christopher CalvaniはBeyondTrustのリサーチチームに所属するセキュリティリサーチャーであり、脆弱性調査と検出エンジニアリングを組み合わせて顧客が新たな脅威に先んじることを支援しています。ロチェスター工科大学でサイバーセキュリティの学士号を取得した新卒で、以前はFidelity Investmentsでシステムエンジニアのインターンとして大規模インフラをサポートし、StavvyでDevSecOpsの高度化に携わりました。

Cole Sodja, プリンシパルデータサイエンティスト, BeyondTrust

Cole SodjaはBeyondTrustのプリンシパルデータサイエンティストであり、AmazonやMicrosoftを含む大手テクノロジー企業で20年以上の応用統計経験を有します。時系列分析を専門とし、予測、変化点検出、行動モニタリングに関する深い専門知識を複雑なビジネス課題に提供しています。