🔥 この記事の詳細
2026-07-10 更新
C
月内に

Kerberosプロトコルの正当な機能を悪用して、Active Directoryのサービスアカウントのパスワードを窃取する「Kerberoasting」攻撃に…

事案🌐 英語ソース
📅 2026-07-10📰 latestnews
📌 一言でいうと
Kerberosプロトコルの正当な機能を悪用して、Active Directoryのサービスアカウントのパスワードを窃取する「Kerberoasting」攻撃について解説しています。攻撃者はドメインアカウントを使用してサービスチケットを要求し、それをオフラインで解析することでパスワードを特定します。この手法は特権昇格の段階で頻繁に利用され、特に過剰な権限を持つサービスアカウントが標的となります。
🔍該当判定
  • Windows ServerのActive Directory(AD)を社内で運用している
  • AD上のサービスアカウント(SQL Serverやバックアップソフト用など)を利用している
  • ADのパスワードに、辞書に載っているような単純な文字列を設定している
上記いずれにも該当しない → 静観でOK
該当時の対応
サービスアカウントに強力で複雑なパスワードを設定すること、および不要な特権を削除し最小権限の原則を適用することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Kerberoasting攻撃への対策について

お疲れさまです。Active Directoryにおける特権昇格手法であるKerberoastingに関する情報共有です。

■ 概要
Kerberosプロトコルの仕様を悪用し、サービスチケットをオフラインで解析することでサービスアカウントのパスワードを窃取する攻撃です。ドメイン内の一般ユーザー権限があれば実行可能であり、検知が困難な傾向にあります。

■ 影響範囲
- Active Directory 環境のサービスアカウント (SPNが設定されているアカウント)

■ 対応手順
1. サービスアカウントのパスワードを、オフライン解析が困難な長さと複雑さ(25文字以上推奨)に変更する。
2. 不要なサービスアカウントの削除および、過剰な権限(Domain Admin等)の剥奪を行う。
3. 特権アカウントの監視を強化し、不自然なサービスチケット要求を検知する仕組みを検討する。

■ 参考情報
- Microsoft Kerberos Documentation

対応優先度: 中
対応期限: 次回定期メンテナンス時まで
Subject: [Info] Mitigating Kerberoasting Attacks in Active Directory

Hi team,

I am sharing information regarding Kerberoasting, a common privilege escalation technique in Active Directory environments.

■ Overview
Kerberoasting abuses the Kerberos protocol to request service tickets, which are then cracked offline to retrieve the clear-text passwords of service accounts. This can be performed by any authenticated domain user.

■ Scope
- Service accounts with Service Principal Names (SPNs) configured in Active Directory.

■ Mitigation Steps
1. Implement strong, complex passwords (25+ characters) for all service accounts to resist offline cracking.
2. Audit service accounts and remove unnecessary privileges (Principle of Least Privilege).
3. Monitor for unusual TGS (Ticket Granting Service) request patterns in domain controller logs.

■ Reference
- Microsoft Kerberos Documentation

Priority: Medium
Deadline: Next scheduled maintenance window