パス・ザ・ハッシュ攻撃とは【用語集詳細】
パス・ザ・ハッシュ攻撃(Pass the Hash Attack)は、主にWindowsの認証システムに対して行われる攻撃です。
攻撃者はパスワードハッシュを取得することにより、標的ユーザーや管理者のパスワードを推測することなく認証をバイパスし、水平展開を行います。
Windows OSで用いられるLMあるいはNTLM認証は、入力されたパスワードをハッシュ化し、そのハッシュ値をシステムの特定領域に保存します。攻撃者は、Mimikatzなどの攻撃ツールを利用し、保存されたハッシュ値を取得します。これにより、パスワード自体を入手せずとも、ハッシュ値を用いることでシステムの認証を突破することができます。
Windows OSは、よりセキュアな認証方式としてKerberosを採用していますが、パス・ザ・ハッシュ攻撃で得た権限を元にKerberos認証を破る手法としてパス・ザ・チケット攻撃が生み出されました。
なおNTLM認証は現在もWindowsの一部機能において利用されているため、この攻撃は有効性を保持しています。
