ゴールデンSAMLとは【用語集詳細】
![ゴールデンSAMLとは【用語集詳細】](https://www.sompocybersecurity.com/dcms_media/image/glossary2.png)
ゴールデンSAML(Golden SAML)とは、SAMLトークンを偽造することでターゲットのシステムやサービスを侵害する攻撃手法です。
SAML(Security Assertion Markup Language)は、異なるサービス間で認証情報を連携する仕組みである、シングルサインオンやフェデレーションに用いられる規格です。
ゴールデンSAMLは、連携において利用されるSAMLトークンを偽造することにより、ターゲットのActive Directory環境やAzure環境に対するアクセスを可能にします。
ゴールデンSAMLの実例で最も有名なのは、2020年に発生したSolarWindsハッキングです。
このインシデントでは、ロシア対外情報庁(SVR)と関連するハッカーがAD FS(Active Directory Federation Service)サーバーの秘密鍵を盗み、SAMLトークンを偽造しています。APT29はこのトークンを利用し、Office365のあらゆるサービスにアクセスし情報を窃取しました。
AD FSの管理者権限を取得する過程では、MimikatzやBurpSuiteといったデュアルユースツールが悪用されています。