MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告　検知／防御方法は？：アカウントパスワードを推測し窃取

　管理者は、以下の方法でネットワーク内でのKerberoasting攻撃を検知することができる。

Kerberoastingの防止に役立つ推奨事項

　Kerberoastingからの攻撃に対して環境を強化するために、IT管理者に以下の手順を実施することを推奨している。

可能な限りグループ管理サービスアカウント（gMSA）や委任管理サービスアカウント（dMSA）を使用する

　これらのアカウントは、集中管理された認証情報管理と強化されたセキュリティが必要なマルチサーバアプリケーションに最適だ。例えば、「IIS（(Internet Information Services）」やSQL Server、ドメインに参加しているWindowsサービスなどで使用される。

　グループ管理サービスアカウント（gMSA）は、自動パスワード管理と簡素化されたSPN処理により、複数のサーバやサービスが同じアカウントを使用できるADアカウントの最新版だ。gMSAのパスワードは120文字の複雑なランダム生成であり、既知の手法によるブルートフォース攻撃に対して非常に強力な耐性を持っている。

　委任管理サービスアカウント（dMSA）は、Windows Server 2025で利用可能な管理サービスアカウントの最新版だ。gMSAと同様に、アカウントを使用できるマシンを制限し、Keberoastingに対してパスワード軽減策を提供する。ただし、gMSAとは異なり、dMSAは単独のサービスアカウントからのシームレスな移行をサポートしており、パスワードの移行が可能だ。また、Credential Guardと統合するオプションがあり、dMSAを使用するサーバが侵害されても、サービスアカウントの認証情報は保護される。

顧客がgMSAやdMSAを使用できない場合はサービスアカウントに対してランダムに生成された長いパスワードを手動で設定する

　サービスアカウント管理者は、少なくとも14文字以上のパスワードを設定する必要がある。可能であれば、さらに長いパスワードをランダムに生成し、サービスアカウントの保護を強化することを推奨する。この推奨事項は通常のユーザーアカウントにも適用される。

　よく使用されるパスワードを禁止し、サービスアカウントのパスワードを監査して、弱いパスワードを使用しているアカウントのインベントリを特定し、修正できるようにする。

全てのサービスアカウントがKerberosサービスチケットの暗号化にAES（128bitおよび256bit）を使用するように設定されていることを確認する

　サービスアカウントの暗号化タイプをAESに更新した後、パスワードを変更して、AESを使用して暗号化されていることを確認する。暗号化タイプ更新後にパスワードを変更しないと、アカウントは依然としてKerberoastingに脆弱なままとなる可能性がある。

　Windows 11 24H2およびWindows Server 2025の今後の更新では、RC4暗号化をデフォルトで無効にする予定だ。これらの更新がない環境では、RC4暗号化タイプを手動で無効にすることを推奨する。

SPNを持つユーザーアカウントを監査する

　SPNを持つユーザーアカウントは監査されるべきだ。不要なアカウントからはSPNを削除し、サイバー攻撃の対象となる範囲を減らす必要がある。