【セキュリティ・プロフェッショナルズ・ネットワーク/IISEC】Windowsから「資格情報」を窃取する方法を知って脅威に備えよ ―ジャパンセキュリティサミット2020―

当セミナーは終了しました。
Windowsシステムの中には各種の資格情報が保存されている。資格情報とはユーザーのパスワードなど、認証に関連する情報のことで、例えばWindowsの「レジストリ」には、ローカルアカウントのパスワードハッシュやサービス起動アカウントのパスワードが暗号化して保存されている。またブラウザによるWebアクセスやリモートデスクトップアクセスなどの際に明示的に保存したユーザーID/パスワードも、システムドライブ内に暗号化データとして保存される。

これらの資格情報はOSの動作上必要なため、あるいはユーザーの利便性向上のために保存されている。そのため、OSが起動してユーザーがログオンした状態であれば、各種のツールを使用して比較的容易に取り出すことが可能になる。

一方でノートPCの盗難など停止したWindowsマシンでもリスクはある。攻撃者が停止したWindowsマシンに物理的にアクセスした場合でも、条件が整えばシステムドライブから必要な情報(ファイル)を取り出すことで保存されている資格情報を復号・抽出することができるからだ。このため、Windowsマシンの盗難や紛失の際には資格情報の漏洩というリスクも少なからず存在する。

情報セキュリティ大学院大学で客員講師を務める塩月氏による本講演では、Windowsシステムに対するPost Exploitationツールとして有名な「Mimikatz」を使用し、システムドライブ内に保存されてる資格情報をオフラインで抽出する手法について解説する。このような資格情報のオフライン抽出は、犯罪捜査などのデジタルフォレンジック分野における利用についても有効であり、Windowsシステムに対する守りの側面だけでなく、サイバー攻撃時の情報分析の側面でも有効な知見が得られる講演である。

参加申込

講演詳細

講演タイトル:「Windows資格情報のオフライン抽出」

日 程:2020年 9月10日(木曜)17:00〜17:30
会 場:Teamsライブを利用したオンラインイベントです。peatixでお申し込みの方に事前に招待メールをお送りします。
参加費用:無料:お申し込みは当日9月10日の17:00までとさせていただきます
お申込み:こちらよりお申込みください

主 催:ジャパンセキュリティサミット実行委員会

登壇者:合同会社セキュリティ・プロフェッショナルズ・ネットワーク 代表社員
情報セキュリティ大学院大学 客員講師
塩月誠人氏

1985年鹿児島大学理学部地学科卒業後、システム開発企業にて各種システム設計・開発、および社内UNIXシステムの管理を担当。1996年よりWindows NTを利用したISP環境の構築・運用管理に携わった後、セキュリティ関連事業を立ち上げる。2000年から情報セキュリティ系のベンチャー企業にて、セキュリティ監査および各種セキュリティコンサルティング業務に従事。2003年独立、セキュリティ関連コンサルティングビジネスや講演・執筆活動を行う傍ら、2003年8月より約5年間、中央大学研究開発機構のセキュリティ人材育成プロジェクトに参加、大学における実践的セキュリティ教育に携わる。2008年、合同会社セキュリティ・プロフェッショナルズ・ネットワークを設立。

参加申込