TOPセキュリティ > 攻撃的セキュリティツール、Mimikatzとは(後)

セキュリティ

攻撃的セキュリティツール、Mimikatzとは(後)

2019/04/04

J.M. Porup CSO

 「Mimikatz」は、Windows向けの代表的なポストエクスプロイトツールの1つだ。メモリーに格納されているパスワード、ハッシュ、PIN、Kerberosチケットなどを取得でき、Pass-the-Hash攻撃、Pass-the-Ticket攻撃、Kerberosのゴールデンチケット作成などにも使える。攻撃者にとっては、ネットワーク内でポストエクスプロイトの横感染がしやすくなる。

前回から続く)

Mimikatzの歴史

Credit: Microsoft / IDG

 Delpy氏がWDigestの不備を発見したのは2011年のことだった。しかし、Microsoftに報告しても取り合ってもらえなかったことから、代わりにMimikatzを開発し、バイナリーをインターネットで公開した(開発にはC言語を使った)。Mimikatzはセキュリティ研究者らの間ですぐに広まったが、世界中の政府機関からも当然のごとく目を付けられた。そこでDelpy氏はGitHubでソースコードを公開することにした。

 国家の支援を受けているハッカーは、すぐにMimikatzを使うようになった。最初に明らかになった攻撃は、オランダの認証局DigiNotarが標的となった2011年の事件だ。攻撃者は、米Googleを対象とする偽の証明書を発行することで、数十万のイラン人ユーザーのGmailアカウントを監視していた。この事件の結果、DigiNotarは破産に追い込まれ、事業を停止した。

 最近では、マルウエア開発者が拡散を自動化する用途でMimikatzを使っている。前述のNotPetyaや、2017年に猛威を振るったランサムウエア「BadRabbit」がその例だ。今後もMimikatzは、Windowsプラットフォーム向けの効果的なオフェンシブセキュリティツールとしての座を、長年にわたって守っていくことだろう。

↑ページ先頭へ