TOPセキュリティ > 攻撃的セキュリティツール、Mimikatzとは(後)

セキュリティ

攻撃的セキュリティツール、Mimikatzとは(後)

2019/04/04

J.M. Porup CSO

Mimikatzを防御する方法

 Mimikatzを使ったポストエクスプロイトの処理を防ぐことは簡単ではない。Mimikatzを使うには、そのマシンの管理者権限が必要である。管理者権限を奪われたら、その時点で万事休すとも言える。そうなった場合、防御というよりは、いかにして損害を封じ込め、そこから生じる惨劇を抑えるかという問題になる。

 だが、管理者権限を奪われたりMimikatzで資格情報をメモリーから取り出されたりするリスクを抑えるための策はあるし、取り組むだけの価値はある。まず重要なポイントは、必要最小限のユーザーにのみ管理者権限を付与することだ。

 Windows 10か、せめて8.1にアップグレードすることは、出発点の1つであり、Mimikatzの攻撃を受けるリスクの緩和になるが、アップグレードという選択肢をとれない場合も多い。Local Security Authority(LSA)の防御を強化してコードインジェクションを防ぐことは、リスク緩和の確かな策の1つとなる。

 デバッグ権限(SeDebugPrivilege)を無効化することも多少の効果はある。MimikatzはWindowsが標準で備えているデバッグツールをメモリーダンプに利用するからだ。WDigestがデフォルトで有効となっている古いWindowsの場合、手動で無効化しておくことも、攻撃を遅らせる効果はある。せいぜい1~2分遅らせる程度だが、やらないよりはましだ。

 共通の管理者パスワードを社内全体で使い回すという残念な習慣はよく見られる。1台ずつ別々の管理者パスワードを使うこと。また、Windows 8.1以降で、LSASSが保護モードで動いていれば、Mimikatzの効力はなくなる。

 企業ネットワーク上でMimikatzが使われている兆候がないかどうか検出を試みることは、万能の解決策ではない。現在の自動検出ソリューションは成功率が高くない。おそらく、攻撃は最大の防御と言えよう。すなわち、自社のシステムをMimikatzで定期的にテストすることや、ネットワーク上での活動を人間が監視することが、何よりの策だ。

翻訳:内山卓則=ニューズフロント

記事原文(英語)はこちら

↑ページ先頭へ