「Tierモデルで防御設計をちゃんとやった。でも、それで本当に守れているのか実感がない——」
防御の設計を学んだ次にやるべきことは、攻撃の手口を知ることです。
AD演習編の第4弾、「攻撃手法を体験する(Kerberoasting・DCSync)」を公開しました。
今回はじめて「攻撃者の視点」に立ちます。Vol.1〜3で自分で構築・設計した環境に対して、Kali Linuxを使って実際に攻撃を仕掛けます。
Vol.4でやること——攻撃チェーンの全体像
今回の演習は「一般ユーザーの認証情報を入手した攻撃者が、ドメイン全体を制圧するまで」の多段階侵害チェーンを体験します。
一つひとつは特別な操作ではありません。攻撃者の視点で整理したとき、現場の「よくある設定」がいかに危険かが見えてきます。
Kerberoasting(ケルベロスティング) ADのKerberos認証の仕組みを悪用した攻撃手法。SPN(サービスプリンシパル名)が設定されたサービスアカウントのチケットを取得し、オフラインでパスワードをクラックする。ドメインユーザーなら誰でも実行できるのが最大の問題。
DCSync(ディーシーシンク) ADのレプリケーション機能を悪用し、ドメイン内の全アカウントのパスワードハッシュを取得する攻撃手法。KRBTGTハッシュを奪取された時点で「ドメインは終わり」と言われる。
攻撃チェーンは以下の流れです。
| フェーズ | 内容 | ツール |
|---|---|---|
| ① 起点確保 | 一般ユーザー(testuser01)でCLIENT01にログイン | — |
| ② Kerberoasting | svc_webappのTGSチケット取得・Hashcatクラック | Impacket・Hashcat |
| ③ 横展開 | svc_webappでCLIENT01にpsexec接続 | Impacket |
| ④ 偵察 | 標準ツールだけでDC01のIPとadm_tier0を特定 | whoami / nslookup / net group |
| ⑤ 権限昇格 | adm_tier0のパスワード推測・奪取 | — |
| ⑥ DCSync | secretsdumpでドメイン全体のハッシュ奪取 | Impacket |
TGSチケット(Ticket Granting Service Ticket) Kerberosでサービスへのアクセスに使うチケット。サービスアカウントのパスワードハッシュで暗号化されているため、取得してオフラインで解析することでパスワードを推測できる。
Vol.4でわかること
「なぜ侵入できるのか」
「Tierモデルを実装したから、もう安全なはず」 ——本当にそうでしょうか?
Vol.3で実装したTierモデルを構築しましたが、 攻撃者は段階的に権限を昇格させてドメインを制圧できます。
Kerberos認証の仕様上、ドメインユーザーであれば誰でもSPN付きアカウントのチケットを取得できます。DC01へのログオンは拒否されても、チケットは取得できる——そこが Kerberoasting の起点になります。

SPN(Service Principal Name:サービスプリンシパル名) Kerberosがサービスを識別するための名前。SPN が設定されたアカウントはKerberoastingの対象になる。実務環境ではSQL Server・IIS・Exchange等のサービスアカウントにSPNが設定されていることが多い。
「標準コマンドだけで偵察できる」という現実
第4章の偵察では、特殊なハッキングツールは一切使いません。
whoami、nslookup、net group——Windowsに標準搭載されているコマンドだけで、DC01のIPアドレスと高権限アカウント(adm_tier0)を特定します。
Living off the Land(LotL:環境寄生型攻撃) 特殊なツールを使わず、OSに標準搭載されたコマンドやツールだけで攻撃を行う手法。ウイルス対策ソフトに検知されにくく、正常な管理操作のログに混在するため発見が難しい。CISA/NSA/ASDのガイダンスでも特に警告されている手法。
標準コマンドは管理者も日常的に使うため、ログに混在してしまいます。「不審なツールが検知されなければ安全」という前提が崩れる瞬間を体験できます。
「DCSync後のドメインが終わる理由」
最終フェーズのDCSyncでは、ドメイン管理者とKRBTGTのパスワードハッシュを取得します。
KRBTGTアカウント ドメイン内のすべてのKerberosチケット(TGT)を暗号化・署名するための特殊なアカウント。このハッシュを奪取されると、攻撃者は任意のユーザー・任意の権限を持つチケットを偽造できる状態になる(Golden Ticket)。
KRBTGTハッシュを持つ攻撃者がいる状態では、ドメイン管理者のパスワードをリセットしても無意味です。KRBTGTを2回リセットしない限り、偽造チケットは有効なままです。
「ここまで来たらドメインは終わり」と言われる理由を、実際のコマンド出力で見届けます。
Vol.4の演習環境
Vol.1〜3の環境にKali Linuxを1台追加します。
| 役割 | OS | IPアドレス |
|---|---|---|
| ドメインコントローラー(DC01) | Windows Server 2022 | 192.168.56.10 |
| クライアント端末(CLIENT01) | Windows 11 | 192.168.56.20 |
| 攻撃者マシン(ATTACKER) | Kali Linux | 192.168.56.30 |
Kali Linux(カーリーリナックス) Offensive Security社が開発・メンテナンスするセキュリティ専門のLinuxディストリビューション。ペネトレーションテスト・脆弱性診断・フォレンジック等に使われる600以上のツールがプリインストールされている。無料で使用可能。
Kali Linuxはvboxファイル形式でVirtualBoxに直接インポートできます。第0章でセットアップ手順を丁寧に解説しているので、Kali Linux初体験の方でも安心して進められます。
推奨スペックはRAM 16GB以上(Kali Linux追加分)、ストレージ空き150GB以上です。
本演習に関する重要な注意事項
🚨 本書に記載の攻撃手法・ツールは、許可なく第三者のシステムに使用することは不正アクセス禁止法違反にあたり刑事罰の対象となります。
演習は必ず以下の条件を満たす環境でのみ実施してください。
- VirtualBox上のクローズドな仮想環境であること
- ホストオンリーネットワークのみ使用し外部に接続しないこと
- 自分が管理権限を持つ環境であること
業務PC・実務環境での実施は絶対に行わないでください。
こんな方に向いています
- AD演習Vol.1〜3を完了した方(前提条件)
- Kerberoasting・DCSyncを「概念」だけでなく実際に体験したい方
- 防御設計を学んだ次のステップとして、攻撃の手口を理解したい方
- Vol.5のログ解析演習(攻撃の痕跡を検知する)に向けて準備したい方
Vol.4はVol.1〜3の環境を前提としています。未完了の方は先にそちらから始めることをお勧めします。
ADの攻撃手法の概要については「AD攻撃手法と要塞化|Pass-the-Hash・Kerberoasting・GoldenTicket・DCSyncを理解して守る」で先に概念を整理しておくとスムーズです。
AD演習編シリーズ全体のロードマップ
Vol.4はシリーズの転換点です。Vol.1〜3の「守れる設計を作る」から、Vol.4・5の「攻撃を体験し、検知する」へと移行します。
| Vol | テーマ | 状態 |
|---|---|---|
| Vol.1 | VirtualBoxでAD環境をゼロから構築する | 販売中 |
| Vol.2 | OU・GPO・グループを設計して適用する | 販売中 |
| Vol.3 | 特権アカウントを設計してTierモデルを実装する | 販売中 |
| Vol.4 | 攻撃手法を体験する(Kerberoasting・DCSync) | 販売中 |
| Vol.5 | イベントログで攻撃を検知・分析する | 準備中 |
Vol.4で残した攻撃の痕跡(イベントログ)は、Vol.5でそのまま使用します。Vol.4を完了したらスナップショットを必ず取得してください。
Vol.5では「自分が攻撃した記憶」とログの記録を照合する体験ができます。「あのときsvc_webappでpsexecしたのは何時だっけ」という記憶を手がかりにログを追う——これが実務のインシデント対応と同じプロセスです。
まとめ——攻撃者の視点を持つことが、守れる設計につながる
Tierモデルを実装しても、Kerberoastingは成立します。
「設計したから安全」ではなく、「攻撃者がどこを突くかを知った上で設計する」——その差がVol.4を通じて実感できるはずです。
今日確認すべきことは1つです。
自分が設計した環境に、一般ユーザーの認証情報から侵入できるルートが残っていないか。
それを確かめる体験が、Vol.4にあります。
参考:Kerberos認証の概要 | Microsoft Learn 参考:KRBTGTアカウントのパスワードを管理する | Microsoft Learn


コメント