強制認証とは【用語集詳細】
強制認証(Forced Authentication)は、特定の通信プロトコルを悪用し、ユーザーに対し自動的・強制的に認証情報を提供させるクレデンシャル窃取技術です。「認証の強制(Authentication Coercion)」と呼ばれる場合もあります。
この技術で最も多く使われるSMBプロトコルでは、ユーザーはリモートサーバーのリソースにアクセスする際にNTLM認証のチャレンジレスポンスを送信します。
攻撃者はこの仕組みを悪用し、あらかじめ用意した攻撃者のサーバーに対し、ユーザーからSMB接続をするよう仕向けます。攻撃者のサーバーは、ユーザーから送信されたNTLMパスワードハッシュを取得し、このハッシュをクラッキングすることでクレデンシャルを手に入れることができます。
SMBプロトコルの他に、WebDAVプロトコルの悪用も確認されています。
強制認証の実行には、テンプレート・インジェクションを施した悪性ドキュメントや悪性リンクファイルを添付したフィッシングメールが利用されます。
また、 侵害したシステム内部での特権昇格等を行うPetit Potam等の攻撃も強制認証の一種です。
