Pass-the-Hash攻撃とは？仕組みから対策まで分かりやすく解説

企業のネットワークセキュリティを脅かす攻撃手法の一つに、「Pass-the-Hash（パス・ザ・ハッシュ）攻撃」というものがあります。

この攻撃は、パスワードそのものを盗まなくても、システムに不正アクセスできてしまうという厄介な特徴を持っています。特にWindows環境で広く悪用されており、企業のIT担当者にとっては重大なセキュリティリスクなんです。

この記事では、Pass-the-Hash攻撃がどのような仕組みで行われるのか、なぜ危険なのか、そしてどうやって防ぐことができるのかを、IT初心者の方にも分かりやすく解説していきます。

Pass-the-Hash攻撃とは？基本を理解しよう
1. ハッシュ値って何？
2. なぜパスワードなしで侵入できるの？
Pass-the-Hash攻撃の仕組み
Pass-the-Hash攻撃が危険な理由
Pass-the-Hash攻撃の標的になりやすい環境
Pass-the-Hash攻撃への対策方法
実際の被害事例
1. APT攻撃での利用
2. ランサムウェア攻撃での横展開
セキュリティ担当者が知っておくべきこと
まとめ：多層的な防御が鍵

Pass-the-Hash攻撃とは？基本を理解しよう

Pass-the-Hash（PtH）攻撃とは、パスワードのハッシュ値を盗み出して、それを使って認証を突破する攻撃手法のことです。

ハッシュ値って何？

まず「ハッシュ値」について説明しましょう。

ハッシュ値とは、パスワードを一方向の数学的な計算で変換した文字列のこと。例えば「password123」というパスワードを変換すると「a1b2c3d4e5f6…」のような別の文字列になります。

重要なのは、ハッシュ値から元のパスワードを逆算することは極めて難しいという点です。だから、システムは実際のパスワードではなく、ハッシュ値を保存しているんですね。

なぜパスワードなしで侵入できるの？

通常の認証プロセスでは、こんな流れになります。

ユーザーがパスワードを入力
システムがそれをハッシュ値に変換
保存されているハッシュ値と照合
一致すれば認証成功

ここで問題なのが、Windowsなどの一部のシステムでは、ハッシュ値そのものを使って認証できてしまうという仕組みがあること。

攻撃者がハッシュ値を盗み出せば、元のパスワードを知らなくても、そのハッシュ値を使って「なりすまし」ができてしまうんです。

Pass-the-Hash攻撃の仕組み

具体的に、攻撃者はどのような手順で攻撃を行うのでしょうか。

ステップ1：最初の侵入

攻撃者はまず、何らかの方法でネットワーク内の1台のコンピューターに侵入します。

侵入方法は様々ですが：

フィッシングメールで悪意のあるファイルを開かせる
脆弱性を突いてシステムに侵入する
弱いパスワードを総当たり攻撃で破る

ステップ2：ハッシュ値の窃取

侵入したコンピューターから、メモリやファイルに保存されているハッシュ値を盗み出します。

Windowsシステムでは、以下の場所にハッシュ値が保存されています：

メモリ上：ユーザーがログインしている間
SAMデータベース：システムファイル内
LSASSプロセス：認証を管理するプログラム

ステップ3：横展開（ラテラルムーブメント）

盗んだハッシュ値を使って、ネットワーク内の他のコンピューターにも侵入していきます。

特に管理者アカウントのハッシュ値を盗めると、ネットワーク全体に被害が広がってしまう可能性があるんです。

Pass-the-Hash攻撃が危険な理由

この攻撃手法が特に危険なのには、いくつかの理由があります。

1. パスワードの複雑さが関係ない

通常、私たちは「強いパスワードを使えば安全」と考えますよね。

でも、Pass-the-Hash攻撃では、パスワードがどれだけ複雑でも関係ありません。ハッシュ値さえ盗めれば、元のパスワードを解読する必要がないからです。

2. 検知が難しい

攻撃者は正規のハッシュ値を使って認証を通過するため、システムからは正常なログインに見えてしまいます。

異常な動作として検知されにくいため、攻撃が長期間気づかれないまま続くこともあるんです。

3. 横展開が容易

一度ハッシュ値を盗めば、同じパスワードを使っている他のシステムにも簡単に侵入できます。

特に企業では、管理者が同じ認証情報を複数のサーバーで使い回していることがあり、被害が拡大しやすいんですね。

4. 長期的な脅威

盗まれたハッシュ値は、パスワードが変更されるまで有効です。

気づかれずに盗まれた場合、攻撃者は好きなタイミングで侵入できる「裏口」を手に入れたことになります。

Pass-the-Hash攻撃の標的になりやすい環境

どのような環境が、特にこの攻撃の標的になりやすいのでしょうか。

Windows環境

WindowsのNTLM認証（旧式の認証方式）は、Pass-the-Hash攻撃に脆弱であることが知られています。

特に古いバージョンのWindowsや、セキュリティ設定が適切でない環境は要注意です。

Active Directory環境

企業で広く使われているActive Directory（アクティブディレクトリ）は、中央でユーザー管理を行う便利なシステムです。

しかし、これが逆に攻撃者にとっても魅力的な標的になります。ドメイン管理者のハッシュ値を盗めば、ネットワーク全体を掌握できてしまうからです。

同じ認証情報の使い回し

複数のサーバーやシステムで同じ管理者アカウントやパスワードを使い回している環境は、特に危険です。

一箇所突破されると、ドミノ倒しのように被害が広がってしまいます。

Pass-the-Hash攻撃への対策方法

では、この攻撃からどうやって身を守ればいいのでしょうか。効果的な対策をご紹介します。

1. 最新の認証プロトコルを使う

Kerberos認証など、より安全な認証方式に移行しましょう。

NTLM認証は可能な限り無効化するか、使用を最小限に抑えることが推奨されます。Windows環境では、グループポリシーで設定できますよ。

2. 特権アカウントの管理を厳格にする

管理者アカウントの扱いには、特に注意が必要です。

推奨される対策：

日常業務では管理者権限を使わない
管理者アカウントごとに異なるパスワードを設定する
PAW（Privileged Access Workstation）：特権作業専用の端末を用意する
最小権限の原則：必要最小限の権限だけを付与する

3. Credential Guardを有効にする

Windows 10以降では、Credential Guardという機能があります。

これは、認証情報を仮想化ベースのセキュリティで保護する機能。メモリから簡単にハッシュ値を盗めないようにしてくれるんです。

4. 多要素認証（MFA）を導入する

多要素認証（Multi-Factor Authentication）を導入すれば、ハッシュ値だけでは認証を突破できなくなります。

パスワード（知っているもの）に加えて：

スマートフォンアプリの認証コード
生体認証（指紋、顔認証）
セキュリティキー

これらを組み合わせることで、セキュリティが大幅に向上します。

5. ネットワークのセグメント化

ネットワークを適切にセグメント分けすることで、たとえ一部が侵入されても、被害の拡大を防げます。

重要なサーバーやシステムは、別のネットワークセグメントに配置しましょう。

6. 定期的なパスワード変更

定期的にパスワードを変更することで、盗まれたハッシュ値を無効化できます。

ただし、頻繁すぎる変更は逆効果になることも。適切な間隔（例：90日ごと）を設定しましょう。

7. 監視と検知の強化

SIEM（Security Information and Event Management）などのツールを使って、異常なログイン活動を監視します。

以下のような兆候に注目：

通常と異なる時間帯のログイン
複数のシステムへの短時間での連続ログイン
通常と異なる場所からのアクセス

8. エンドポイントセキュリティの強化

各端末にEDR（Endpoint Detection and Response）ソリューションを導入し、不審な動作を検知・阻止します。

メモリ内の異常なアクセスやハッシュダンプの試みを検出できるツールもあります。

実際の被害事例

Pass-the-Hash攻撃は、実際にどのような被害をもたらしているのでしょうか。

APT攻撃での利用

APT（Advanced Persistent Threat：高度持続的脅威）と呼ばれる組織的なサイバー攻撃では、Pass-the-Hash手法が頻繁に使われています。

2014年のソニー・ピクチャーズへの攻撃や、様々な企業を標的にしたサイバースパイ活動で、この手法が利用されたことが報告されています。

ランサムウェア攻撃での横展開

近年増加しているランサムウェア攻撃でも、Pass-the-Hash手法が横展開に使われることがあります。

攻撃者は一台の端末から侵入し、ネットワーク内の多数のコンピューターにランサムウェアを展開する際に、この手法を活用しているんです。

セキュリティ担当者が知っておくべきこと

企業のIT担当者やセキュリティ担当者は、以下の点に注意すべきです。

定期的なセキュリティ監査

ペネトレーションテスト（侵入テスト）を定期的に実施し、自社のシステムの脆弱性を把握しましょう。

専門家に依頼して、実際にPass-the-Hash攻撃が可能かどうかを検証してもらうことも有効です。

インシデント対応計画の策定

万が一攻撃を受けた場合に備えて、インシデント対応計画を準備しておきましょう。

対応手順には以下を含めます：

被害範囲の特定方法
侵害されたアカウントの特定と無効化
全ての管理者パスワードの緊急変更
フォレンジック調査の実施

従業員への教育

技術的な対策だけでなく、従業員のセキュリティ意識も重要です。

フィッシングメールの見分け方や、怪しいリンクをクリックしない習慣など、基本的なセキュリティ教育を定期的に行いましょう。

まとめ：多層的な防御が鍵

Pass-the-Hash攻撃について、重要なポイントをまとめましょう。

Pass-the-Hash攻撃のまとめ：

ハッシュ値を盗んで認証を突破する攻撃手法
パスワードの強度に関係なく、ハッシュ値があれば侵入可能
Windows環境やActive Directory環境が特に標的になりやすい
検知が難しく、横展開も容易なため被害が拡大しやすい

効果的な対策：

最新の認証方式（Kerberos）への移行
特権アカウントの厳格な管理
Credential Guardの有効化
多要素認証（MFA）の導入
ネットワークのセグメント化
継続的な監視と検知

Pass-the-Hash攻撃から完全に守る「魔法の杖」は存在しません。重要なのは、複数の対策を組み合わせた多層的な防御です。

技術的な対策に加えて、組織全体のセキュリティ意識を高めることで、攻撃者にとって侵入しにくい環境を作ることができます。

自社のシステムが適切に保護されているか、今一度見直してみてはいかがでしょうか。

関連キーワード： サイバーセキュリティ、NTLM認証、Kerberos、Active Directory、多要素認証、Credential Guard、ペネトレーションテスト、横展開、ラテラルムーブメント、特権アカウント管理