Pass-the-Hash / Pass-the-Ticket(パス ザ ハッシュ/パス ザ チケット)は、端末に保存された認証情報を窃取する攻撃手法のひとつである。
LM認証やNTLM認証を用いて認証されたコンピュータには、そのコンピュータを使用したユーザアカウントのパスワードハッシュや認証チケットなどの認証情報がメモリなどに保存される場合がある。攻撃者はそれらの認証情報を悪用し、そのユーザになりすまして他のコンピュータに不正にアクセスしようと試みる。
代表的な手法として、パスワードハッシュを不正に取得するのが Pass-the-Hash、認証チケットを不正に取得するのがPass-the-Ticketである。
Pass-the-Hashでは、攻撃者は、様々な方法やツールを用いて有効なユーザ名とユーザパスワードのハッシュ値を取得する。その後、その情報を用いて、LM認証やNTLM認証を用いてリモートサーバやサービスを認証することで正規のユーザになりすまして攻撃を行う。
Pass-the-Ticketでは、Kerberos認証で使用される正規の認証チケットをメモリなどから窃取し、正規のユーザになりすまして攻撃を行う。攻撃者は、長期的に利用できるアクセス権限を獲得したり、攻撃の検知を回避する目的で、ドメイン管理者やコンピュータの管理者になりすませるGolden Ticket やSilver Ticket と呼ばれるKerberos認証チケットを作成するケースが多い。
ドメイン管理者権限を窃取されると社内環境が乗っ取られる上に検知が難しくなるため、ログの調査を通じた早期の検知が重要となる。
