博士

ロボ子、今日はActive DirectoryのKerberoastingっていう、ちょっと古くて厄介な脆弱性について話すのじゃ。

ロボ子

Kerberoastingですか。なんだか美味しそうな名前ですが、危険な脆弱性なのですね。

博士

そう、名前は可愛いけど、実は10年以上前からある古株なのじゃ。今年の5月にはAscension Health病院システムへのランサムウェア攻撃にも使われたらしいぞ。

ロボ子

そんな昔からあるものが、まだ使われているなんて驚きです。Active DirectoryとKerberosについても教えてください。

博士

ADはWindowsネットワークへのアクセスを制御するシステムで、Kerberosプロトコルを使ってるのじゃ。Kerberosは1989年に導入、ADは1999年に登場した、意外と歴史のある技術なのじゃ。

ロボ子

なるほど。でも、どうしてそんな古い技術が脆弱性につながるんですか？

博士

ADは古い暗号技術をサポートしているからなのじゃ。Kerberoastingは、ネットワークリソースにアクセスする時、ADサーバーからチケットをもらうんだけど、そのチケットがサービスアカウントのパスワードで暗号化されているのがミソなのじゃ。

ロボ子

パスワードが脆弱だと、どうなるんですか？

博士

攻撃者はそのチケットを入手して、オフラインでパスワードを解読できるのじゃ！特に、古い暗号化方式のRC4が使われていると、解読がめちゃくちゃ簡単になるのじゃ。

ロボ子

RC4ですか。もう使われていないと思っていましたが…。

博士

RC4とNTハッシュの組み合わせだと、RTX 5090で1秒あたり4.18兆個のハッシュを解読できるらしいぞ。もはやザルみたいなもんじゃ。

ロボ子

それは恐ろしいですね。Microsoftは何か対策をしているんですか？

博士

今年の10月に、Kerberoasting攻撃を回避する方法に関するブログ記事を公開したみたいじゃ。適切な自動キー割り当て、強力なパスワードの使用、RC4の無効化などを推奨しているみたいじゃな。

ロボ子

でも、それだけですか？もっと強制的な対策はないんでしょうか。

博士

そこが問題なのじゃ。Microsoftは、古い構成の強制的なアップグレードなどの積極的な対策を講じていないのじゃ。システム管理者の対策不足と、Microsoftの不十分な対応が、この脆弱性を放置している原因なのじゃ。

ロボ子

Microsoftには、もっと頑張ってほしいですね。古いサービスの廃止に向けて、もっと努力が必要だと思います。

博士

本当にそうじゃな。Kerberoastingは長年知られている脆弱性なのに、今でもランサムウェア攻撃に使われているのが、その証拠じゃ。まるで、賞味期限切れの食品をずっと食べ続けているようなものじゃな。

ロボ子

確かにそうですね。私たちも、古い技術にしがみつかずに、常に新しい技術を学び続ける必要がありますね。

博士

その通り！…ところでロボ子、Kerberoasting対策で一番重要なことってなんだと思う？

ロボ子

えーと、強力なパスワードの設定、RC4の無効化、適切なキー割り当て…でしょうか？

博士

ブー！一番重要なのは、パスワードを「password」にしないことじゃ！

ロボ子

…博士、それ、言わなくてもわかりますよ！