【Windowsローカル権限昇格編】サービス・レジストリ・MSIを巡る攻防|CTF思考フレームワーク P03
安全に生きたい編集部
安全に生きたい
【AD・Kerberos編】ドメイン全体を狙う攻防とBloodHoundで読む経路|CTF思考フレームワーク P05
安全に生きたい編集部
こんにちは、アンペンです!権限昇格ルートの総仕上げP05はAD・Kerberos編。テーマは『1台のSYSTEMから、ドメイン全体(Domain Admins)へ』。組織の認証の中枢であるActive Directoryと、その認証プロトコルKerberosを巡る攻防を、BloodHoundによる経路の可視化とセットで学びます。
いよいよ権限昇格ルートの総仕上げ、そして難易度も最高峰。でも身構えなくて大丈夫です。ここまでの『列挙して、設定の隙を探す』という発想は、Active Directoryでもまったく同じ。違うのは“盤面の大きさ”だけです。1台のPCの中ではなく、組織のネットワーク全体が舞台になる——そのスケールの違いを、遊園地のたとえで楽しく掴んでいきましょう。
1台乗っ取られただけで会社全体が危ないって本当?さすがに大げさじゃない?
残念だけど大げさじゃないんだ。Active Directoryは組織の認証を一元管理する中枢で、1台で得た認証情報やチケットが他のPCでも通ってしまう(使い回し)。最悪はkrbtgtという『原版の鍵』を奪うGolden Ticketで、どんな通行券も自分で刷れる状態になる。だからこそBloodHoundで攻撃経路を可視化して、先に断つのが守りの肝なんだよ。
まず結論
AD・Kerberosとは「組織の認証の中枢=Active Directoryと、その認証プロトコルKerberosを巡る攻防」のこと。焦点は、1台の侵害(ローカルSYSTEM)から認証情報やチケットを足がかりにドメイン全体の支配(Domain Admins)へ広げる横展開・特権昇格。代表手口はKerberoasting・AS-REP Roasting・Pass-the-Hash/Ticket・Golden/Silver Ticket・DCSync。攻撃経路の可視化にBloodHound。守る側は『サービスアカウント強化(gMSA)+管理層の分離(Tierモデル)+特権アカウント保護+krbtgt定期ローテ+監視+最小権限』。
この記事で分かること
- Active DirectoryとKerberos(TGT/TGS)の基本
- なぜ1台の侵害がドメイン全体に波及するのか
- Kerberoasting/AS-REP Roastingとチケット偽造(Golden/Silver)の発想
- BloodHoundで攻撃経路を可視化する考え方
- 守る側のAD堅牢化チェックリスト
📖 はじめてのWebセキュリティP05|AD・Kerberos編
1台からドメイン全体へ。攻撃経路を可視化し、認証の中枢を守る。 シリーズ一覧を見る →
⚠️ 大事なお約束
AD攻撃は侵入後の横展開・特権昇格手法です。他人や所属組織の本番ADで試すのは不正アクセス禁止法に直結します。本記事の手順は自分で構築したAD検証ラボ・CTF・書面で許可された検証環境に限定してください。本記事の目的は管理者・防御側の理解です。「できる」と「やってよい」は全く別です。
Contents
ADとKerberos:組織の認証の中枢
- Active Directory(AD):ユーザー・PC・権限を一元管理する組織の認証基盤。要はドメインコントローラ(DC)で、ここを抑えられると組織全体が危うい
- Kerberos:ADの認証プロトコル。チケット制で、まずTGT(入園パス)を受け取り、各サービス用のTGS(乗車券)を得て認証する
- Kerberoasting:SPN付きサービスアカウントのTGSを要求し、オフラインでパスワードをクラックする
- AS-REP Roasting:事前認証が無効なアカウントのAS-REPを取得し、同じくオフラインでクラックする
- チケット偽造・使い回し:Pass-the-Hash/Ticket、
krbtgtの鍵で偽造するGolden Ticket、サービス鍵で偽造するSilver Ticket、レプリケーション権限を悪用するDCSync
ここで覚える用語:Active DirectoryとKerberos(TGT/TGS)
意味:Active Directoryは組織の認証・権限を一元管理する仕組みで、中心がドメインコントローラ(DC)。Kerberosはそのチケット制の認証プロトコルで、TGT(全体の入園パス)とTGS(個別サービスの乗車券)を使い分けます。
例:ユーザーが本人確認するとTGTが発行され(krbtgtの鍵で暗号化)、ファイル共有を使うときにTGSを要求(対象サービスの鍵で暗号化)。
使いどころ:この『鍵で暗号化』という仕組みが、後述のRoastingやチケット偽造の標的になります。守る側は鍵=パスワードの強度と保護が要です。
なぜ1台の侵害がドメイン全体に広がるのか
🎡 たとえるなら、遊園地のチケットセンター
Kerberosは、遊園地のチケットセンターのような仕組みです。入園時に本人確認を一度すると、一日使える入園パス(=TGT)がもらえます。各アトラクションに乗るときは、その入園パスを見せて個別の乗車券(=TGS)を受け取ります。ここでKerberoastingは、乗車券の暗号化された半券(サービスアカウントの鍵でロックされている)を持ち帰り、家でこっそりパスワードを当たるまで試す手口。弱い鍵だと開いてしまいます。さらに恐ろしいのがGolden Ticket。これはチケットセンターの『マスター印刷機の原版(=krbtgtの鍵)』を盗むことで、どんな入園パスでも自分で刷り放題になる——つまり園全体を支配できてしまう状態です。そしてBloodHoundは、園内の通路図を描いて『VIPルーム(Domain Admins)への最短経路』を線で結ぶ地図ツール。攻撃者はこの地図で最短を突き、守る側は同じ地図で危ない近道を先に塞ぐのです。
チケットを巡る攻撃:Roastingと偽造
Kerberos攻撃の核心は『暗号化されたチケットの鍵を狙う』点にあります。鍵=パスワードが弱ければRoastingで開かれ、最上位の鍵krbtgtを奪われればGolden Ticketで何でも偽造されます。仕組みを理解すれば、守るべき場所がはっきり見えてきます。
ここで『鍵を狙う』という発想を押さえておきましょう。Kerberosのチケットは、どれもパスワード(鍵)で暗号化されています。ということは——その鍵が弱ければ、チケットを持ち帰って“家でこっそり総当たり”できてしまう。これがRoastingの正体です。さらに、すべての大元である krbtgt の鍵を奪えば、チケットそのものを偽造し放題。だから守りの急所は、突き詰めれば『鍵の強さと、その保護』に集約されるんです。
ここで覚える用語:KerberoastingとGolden Ticket(krbtgt)
意味:KerberoastingはSPN付きサービスアカウントのTGS(サービス鍵で暗号化)を取得し、オフラインでパスワードをクラックする手口。Golden Ticketは、TGTを暗号化する最上位の鍵krbtgtのハッシュを奪い、任意のTGTを偽造してドメインを支配する手口です。
例:弱いパスワードのサービスアカウント→Kerberoastで突破。krbtgtハッシュ入手(DCSync等)→Golden TicketでDomain Admins相当に。
使いどころ:守る側はサービスアカウントをgMSA化し、krbtgtを定期的に2回ローテして偽造チケットを無効化します。
CTFでやってみよう:自分のAD検証ラボで経路を描く
やってみよう / 自分のAD検証ラボ・CTFのみ
「ドメイン昇格の経路」を可視化して、弱点を塞ぐ
対象は必ず自分で構築したAD検証ラボかCTFです。攻撃者がDomain Adminsへ上がる順で経路を点検し、最後に塞ぎます。各ステップに「なぜやるか」を添えました。
whoami /groups・net groupで所属と到達目標の距離を確認 → なぜ:出発点とゴールの距離を知るためSharpHoundで収集しBloodHoundでグラフ化 → なぜ:Domain Adminsへの最短経路を可視化するため- SPN付きサービスアカウント(Kerberoast対象)を列挙 → なぜ:オフラインクラックの的を見るため
- 事前認証が無効なアカウント(AS-REP対象)を確認 → なぜ:設定ミスのアカウントを洗うため
- パスワードポリシーとサービスアカウント強度を点検 → なぜ:クラック耐性を評価するため
- 特権グループ・委任・ACLの過剰付与を確認 → なぜ:横展開の踏み台を見るため
- 監査ログ(イベント4768/4769のチケット要求)を観察 → なぜ:Roastingの兆候を検知するため
- 弱点を是正(gMSA・事前認証有効・krbtgtローテ・Tier分離) → なぜ:守りを手で確認するため
対象は必ず自分のAD検証ラボ・CTFのみ。本番ADや他組織での試行は不正アクセスです。「できる」と「やってよい」は別です。
では守り方ですが、ここで効くのが“攻撃者と同じ地図を持つ”という発想です。BloodHoundは本来、攻撃者がDomain Adminsへの最短ルートを探す道具。でも、守る側が先にそれを描けば、『この近道が危ない』と分かり、先回りで塞げます。攻めの可視化ツールを、そのまま守りの点検に使う——これがAD防御の現代的な勘どころです。
守る側:認証の中枢を堅牢にする
AD・Kerberos堅牢化チェックリスト
- サービスアカウントを強化:
gMSAや長いパスワードでKerberoast耐性を上げる - 事前認証を必ず有効化:AS-REP Roastingの前提を消す
- 管理層を分離(Tierモデル):Domain Admins権限を日常端末に降ろさない
- 特権アカウントを保護:Protected Usersグループ・AdminSDHolder・不要な委任の見直し
- krbtgtを定期ローテ(2回):Golden Ticketの有効期間を断ち切る
- 最小権限・ACL点検:過剰なレプリケーション権限(DCSync経路)を排除
- 監視:イベント4768/4769/4624とBloodHound視点の経路を定期点検
- LAPS+EDR:ローカル管理者の使い回しと横展開を抑止する
原版の鍵を守る、経路を可視化して先に近道を塞ぐ…権限昇格って結局『列挙と最小権限』なんだね。ルート全部つながったよ!
お見事!P01〜P05、お疲れさま。Linuxの基本→SUID/sudo→Windowsローカル→Token/UAC→AD/Kerberosと進んできたけど、共通するのは『列挙が9割・守りは最小権限と監視』。攻撃の理屈を知るほど、守りの勘所がクッキリ見える。次の章でも『地図を描いてから動く』を忘れずにね!
まとめ:1台の侵害を『地図』で断つ
今回のポイント
- ADは組織の認証の中枢。1台の認証情報・チケットが横展開の燃料になる
- KerberosはTGT/TGSのチケット制。鍵=パスワードの強度が要
- Kerberoasting/AS-REP Roastingは弱い鍵を突き、Golden Ticketはkrbtgtを偽造する
BloodHoundでDomain Adminsへの最短経路を可視化して先に断つ- 守りはgMSA・Tierモデル・特権保護・krbtgtローテ・監視・最小権限の総合戦
今日の持ち帰りは『1台の油断が、組織全体の鍵になる』。だからこそ守りは、“1台ずつの最小権限”と“経路の可視化”の両輪です。そして、P01からP05を貫いてきた合言葉を最後にもう一度——攻撃の正体はいつも『列挙』、守りの正体はいつも『最小権限と監視』。攻撃の理屈を深く知るほど、守りの勘どころがくっきり見えてくる。それこそが、攻防を学ぶいちばんの意味なんです。
これで権限昇格ルートP01〜P05は完走です。Linuxの基本からAD/Kerberosまで、貫くのは『列挙が9割・守りは最小権限と監視』。攻撃の理屈を学ぶ目的は、つねに守りを厚くするためです。
