Pass-the-Hash攻撃

利用者の認証を行うシステムの中には、通信途上で秘密の情報が盗聴されないよう、ユーザー名やパスワードなどをそのまま送受信せず、ハッシュ値と呼ばれる不可逆的な変換を行ったデータで代用するものがある。

Pass-the-Hash攻撃では、利用者がログイン時に使用したハッシュ値を、攻撃ツールを用いてクライアント端末のメインメモリから不正に取得するなどの方法で盗み取る。攻撃者は盗み取ったハッシュ値をサーバに送ることで、パスワードそのものは分からなくても正規の利用者になりすまして認証を突破することができる。

ハッシュ値のみでログインできる認証方式としてWindowsネットワークで用いられるNTLM認証がよく知られており、SMB/CIFS/Sambaによるファイル共有システムなどが影響を受けやすい。Mimikatzなどの攻撃ツールで実行できることがよく知られている。Active Directoryで一般的なKerberos認証ではこの手法は通じないが、認証チケットを盗み取る「Pass-the-Ticket攻撃」（パス・ザ・チケット攻撃）というよく似た手法が知られている。

関連用語

Active Directory

【アクティブディレクトリ】

.comドメイン

【ドットコム】

アカウント

【account】

クライアント

【client】

クリック

【click】

サーバ

【server】

ドメイン

【domain】

ハッシュ関数

【hash function】

プロトコル

【protocol】

ログイン

【login】

アプリケーションソフト

【application software】

ハッシュ値

【hash value】

Kerberos

認証

【authentication】

コンピュータ

【電子計算機】

脆弱性

【vulnerability】

端末

【terminal】

プロセス

【process】

ネットワーク

【network】

NTLM認証

【NT LAN Manager authentication】