「Golden Ticket」とは、Active Directory認証において攻撃者が作成したTGT(Ticket Granting Ticket)を指す。攻撃者は有効期限が長いTGTを作成し正規のドメイン管理者に長期的になりすますことを目的としている。Golden Ticketを悪用する攻撃は Pass-the-Ticket攻撃の一種である。
AD環境において主に利用される認証方式であるケルベロス認証(Kerberos認証)では、以下の2種類の認証チケットを使って認証を行う。
- TGT (Ticket Granting Ticket): 正しいユーザであることを証明するためのチケット
- ST (Service Ticket): ADドメインのサービスを利用するためのチケット
TGTは通常ドメインコントローラによって発行されるが、Active Directoryの脆弱性や端末に保存された認証情報を悪用してドメイン管理者権限を窃取した攻撃者は、任意のアカウントのTGTを作成し、そのアカウントになりすますことが可能になる。
しかし、この場合もなりすましたアカウントのパスワード変更などが行われると攻撃活動を継続できなくなる可能性がある。
そこで、攻撃者はターゲットシステムへの長期的なアクセスを目的として、「Golden Ticket」と呼ばれる不正な認証チケットを作成する手法をとる。
一度TGTが発行されると、有効期限内は再認証を行うことなく使用できる。そのため、「Golden Ticket」はなりすましたアカウントのパスワードが変更された後でも使用でき、攻撃者は有効期限を10年などの長い期間に設定することで長期的にアカウントの権限を窃取する。攻撃者が「Golden Ticket」を使って正規のアカウントになりすました場合、正規ユーザとのアクセスの違いを見分けることは非常に困難である。
ドメイン管理者権限を窃取されると社内環境が乗っ取られる上に検知が難しくなるため、早期に攻撃に気づくことができれば、被害を低減することが可能であり、攻撃を早期検知するためのログ調査などが必要となる。
