【横展開編】Pass-the-Hash／Pass-the-Ticket／PsExec・WMIで広がる侵入｜CTF思考フレームワーク #37

こんにちは、アンペンです！

前回は、LSASS・SAM・DPAPIから資格情報が抜かれる流れを扱いました。

今回は、抜いた認証情報を使って『隣の端末・サーバへ進む』横展開(Lateral Movement)を見ていきます。Pass-the-Hash・Pass-the-Ticket・PsExec/WMIで広がる侵入と、その守り方を学びましょう。

奪った認証情報で、他のPCにもアクセスできちゃうの？

同じローカル管理者パスワードを使い回していると、1台奪われると同じ鍵で他端末にも入れる。これが横展開の典型シナリオだよ。

前回、攻撃者が侵入後にまず“鍵束”を抜く話をしました。今回はその続き——抜いた鍵を使って、隣のPC、その隣のサーバ……と侵入を広げていく『横展開』です。ニュースで聞く「社内の何百台が被害に」という大事故は、たいていこの横展開で広がります。最初の1台は、攻撃者にとってゴールではなく“拠点”。今日はマンションのマスターキーのたとえで、その広がりと、止め方を見ていきます。

横展開は『鍵の使い回し』が大前提

横展開の多くは、 同じ認証情報が複数ホストで通用する状況を前提に成立します。代表的なのは、すべての端末で同じローカル管理者パスワードが使われているケースです。

1台端末を奪い、そこからLSASS等で鍵を抜くと、攻撃者は『他の端末にも本人として入れる』状態を手にします。ここから組織全体に広がっていきます。

ここで、攻撃者にとっての“最初の1台”の本当の価値が見えてきます。彼らが欲しいのは、その1台のデータそのものではないことが多い。狙いは、そこを“足場（拠点）”にして、より価値の高いサーバ——たとえば全社のデータが集まるファイルサーバや、ドメイン全体を支配できる管理サーバ——へ少しずつ近づくこと。だから守る側は「1台入られた」時点で諦めるのではなく、「そこから先へ進ませない」ことに全力を注ぐわけです。

なぜ、1つの鍵で何台にも入れてしまうのでしょう。原因の多くは“管理のラクさ”です。たくさんのPCを管理するとき、ローカル管理者のパスワードを全台で同じにしておくと、運用がとても楽。どのPCにも同じ合言葉で入れますからね。でも、その“楽さ”は攻撃者にとっても“楽さ”。1台からその共通パスワードを抜けば、同じ鍵で全台に入れてしまう。便利さと危うさは、ここでも背中合わせなんです。

図解：単独侵入 vs 横展開

同じ侵入経路でも、横展開対策の有無で被害範囲がまったく違います。

『LAPS』は、さっきのマスターキー問題への直球の答えです。やることはシンプルで、各PCのローカル管理者パスワードを“全部バラバラ”にして、しかも自動で管理する。たとえるなら、全戸同じだった合鍵を、部屋ごとに違う鍵に付け替えるようなもの。こうすれば、1台から鍵を抜かれても、その鍵で開くのはその1台だけ。横展開の“大前提”が崩れるので、地味ですが効果は絶大です。

横展開の代表3手法

横展開の代表的な手口は3つ。『パスワードを知らなくても、その“指紋（ハッシュ）”だけで入る（PtH）』『発行済みの“通行証（チケット）”をそのまま使い回す（PtT）』『リモート実行の仕組みで隣のPCにコマンドを送る（PsExec/WMI）』。ここで驚くのは、最初の2つ——平文パスワードを“知らなくても”侵入できてしまうこと。鍵そのものでなく、鍵の“写し”で十分なんです。

代表的なテクニック

• Pass-the-Hash (PtH)：NTLMハッシュをそのまま渡して認証する。パスワード平文不要
• Pass-the-Ticket (PtT)：Kerberosチケット(TGT/TGS)をそのまま使い、他ホスト/サービスにアクセス
• PsExec / WMI / WinRM：SMB・RPC・PowerShell Remoting等のリモート実行でコマンドを実行

これらは個別のテクニックですが、攻撃シナリオでは『資格情報窃取 → PtH/PtT で隣に入る → PsExec/WMI で操作』のように連結して使われるのが普通です。

ここまで読むと気づくかもしれませんが、この章の話は全部つながっています。「侵入（前章まで）→ 鍵束を抜く（#36）→ その鍵で隣へ（PtH/PtT）→ リモート実行で操作（PsExec）→ また鍵束を抜く……」と、同じ動作を繰り返しながら、攻撃者はジワジワと組織の中枢へ向かう。一連の流れは“キルチェーン”とも呼ばれます。逆に言えば、この鎖のどこか1か所を断てば、全体の進行を止められる。守る側にとっては、それが希望でもあります。

練習は、自分が管理する環境で『1台落ちたら、何台に広がるか』を点検することです。ローカル管理者パスワードはバラバラ？管理者は業務PCに直接ログインしてない？——攻撃ではなく、自組織の“延焼しやすさ”の健康診断ですね。なお、AD全体の侵入経路を可視化するBloodHoundのようなツールも、必ず自分の検証環境だけで。他組織のドメインに向けるのは厳禁です。

CTFでやってみよう：管理者運用を点検

守りの考え方の中心は、『1台落ちても、1台で止める』。その要になる“tier（階層）分離”を会話で押さえましょう。

管理者は便利だから、自分の作業PCからも全サーバに入れるようにしてるけど、ダメなの？

気持ちは分かるけど、それが一番危ないんだ。もしその作業PCがメール添付などで乗っ取られたら、そこに残った管理者の鍵で、いきなり全サーバが落ちる。だから“管理者専用の、ネットも用途も絞った端末”からしか重要サーバを触らない、と階層（tier）を分ける。日常使いのPCと、お城の金庫を開ける作業は、別の机でやる——そう住み分けるだけで、1台の事故が全体に飛び火しにくくなるんだよ。

守る側なら、「LAPS+SMB署名+tier分離+EDR」

横展開の守りは、「鍵の使い回しを物理的にできなくする(LAPS等)」「横通信を強化(SMB署名・EPA)」「管理者操作のtier分離」「振る舞いをEDRで検知」の4点が中心です。

『鍵の使い回しを断つ』だけで、被害範囲が大きく変わるんだね。

そう。LAPSとtier分離は『地味だけど一番効く』対策。EDRで検知も組み合わせるのが現代の基本だよ。

ここまでをひと言で言うと、横展開の守りは『延焼させない設計』です。火事と同じで、出火（侵入）をゼロにはできなくても、防火壁（鍵の固有化・tier分離・ネットワーク分離）があれば、1部屋の火事を建物全体に広げずに済む。攻撃者が大好きな“鍵の使い回し”を断つだけで、被害規模はまるで変わってきます。

まとめ：『1台落ちて1台で止める』設計

今日の持ち帰りは『最初の1台は“拠点”、本番はその後』です。1台の侵入を完全に防ぐのは難しい。でも、そこから組織全体へ広がるのを止めることはできます。鍵を端末ごとに変え（LAPS）、管理者の作業を分け（tier）、横通信を絞る。“1台落ちて1台で止まる”——この一言を目標に置くだけで、守りの優先順位がはっきりします。

次回は、Linuxカーネルやコンテナエスケープを扱います。DirtyPipeからDocker socket悪用まで、隔離の壁を破る攻撃と守り方を見ていきましょう。

次に読みたい記事

参考資料