%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 用語集
  4. ゴールデンSAMLとは【用語集詳細】

ゴールデンSAMLとは【用語集詳細】

  • LINEで送る
  • このエントリーをはてなブックマークに追加
ゴールデンSAMLとは【用語集詳細】

サイバー脅威インテリジェンスサービスCognyte

ゴールデンSAML(Golden SAML)とは、SAMLトークンを偽造することでターゲットのシステムやサービスを侵害する攻撃手法です。
SAML(Security Assertion Markup Language)は、異なるサービス間で認証情報を連携する仕組みである、シングルサインオンフェデレーションに用いられる規格です。
ゴールデンSAMLは、連携において利用されるSAMLトークンを偽造することにより、ターゲットのActive Directory環境やAzure環境に対するアクセスを可能にします。

ゴールデンSAMLの実例で最も有名なのは、2020年に発生したSolarWindsハッキングです。
このインシデントでは、ロシア対外情報庁(SVR)と関連するハッカーがAD FS(Active Directory Federation Service)サーバーの秘密鍵を盗み、SAMLトークンを偽造しています。APT29はこのトークンを利用し、Office365のあらゆるサービスにアクセスし情報を窃取しました。

AD FSの管理者権限を取得する過程では、MimikatzBurpSuiteといったデュアルユースツールが悪用されています。



  • LINEで送る
  • このエントリーをはてなブックマークに追加