情報処理安全確保支援士 2025年 秋期 午前2 問02

Pass the Hash攻撃はどれか。【午前2 解説】

要点まとめ

• 結論：パスワードのハッシュ値を平文に戻さず、そのまま認証に使ってログインする攻撃が正解であり、イです。
• 根拠：Windows系のNTLMなどはハッシュを認証情報として扱えるため、ハッシュを取得すればリプレイで認証可能になります。
• 差がつくポイント：パスワードの「平文化（クラッキング）」と「ハッシュの再利用（Pass‑the‑Hash）」を明確に区別することが重要です。

正解の理由

よくある誤解（2〜3 行）

• ハッシュを入手＝すぐに平文が分かる、と思う人が多いがPtHは平文を復元しないまま認証に使う攻撃です。
• PtHは単なるパスワード盗用ではなく、OSやプロトコルのハッシュ取り扱いの仕様を突く点が特徴です。

解法ステップ（番号付きリスト）

1. 問題文のキーワード（Pass the Hash）から「ハッシュを直接使う」攻撃を連想する。
2. 各選択肢が「ハッシュを直接使う」「ハッシュから平文を得る」「別の試行」を述べているかを判別する。
3. 「ハッシュを平文に戻してログインする」はハッシュクラッキングなので除外する。
4. 「利用者IDを変えてハッシュ化を繰り返す」は総当たりや別攻撃でPtHではないと判断する。
5. 「平文パスワードをそのまま使う」は端的に別の窃取方法なので除外する。
6. 残る「ハッシュのみでログインできる仕組みを悪用してログインする」がPtHと一致するため正解とする。

選択肢別の誤答解説

• ア: 「ハッシュ値から導出された平文パスワードを使ってログインする」→ これはハッシュを解析して平文を得る（クラッキング）であり、PtHとは手法が異なります。
• イ: 「パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする」→ PtHの定義に合致します。ハッシュを直接再利用して認証に成功させます。
• ウ: 「利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする」→ これはブルートフォースやID列挙の一種であり、PtHではありません。
• エ: 「ハッシュ化されずに保存されている平文パスワードを使ってログインする」→ 平文を使う単純な窃取や再利用で、PtHとは異なる攻撃です。

補足コラム（関連知識など）

• 主にWindows環境で問題になる攻撃で、NTLMハッシュの再利用が典型例です。ツールとしてはMimikatzなどでハッシュや資格情報を抽出し、Metasploit等でリプレイする運用が知られています。
• 対策：不要なNTLMの無効化やSMB署名の有効化、特権分離（管理者権限の最小化）、多要素認証（MFA）、Credential Guardの導入、パスワードハッシュの定期的な無効化・ローテーションが有効です。
• 関連攻撃概念：「Pass the Ticket（Kerberosチケットの横取り）」や「Credential Dumping（資格情報抽出）」と併せて理解すると全体像がつかめます。

FAQ