ストライカー社のインシデントから見えてくるHandalaの攻撃手法
ブログを読む

ストライカー社のインシデントから見えてくるHandalaの攻撃手法。ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. サイバーセキュリティの基礎
  2. Mimikatz

Mimikatzの解説:防御担当者が理解すべき認証情報窃取ツール

主な洞察

  • Mimikatzは2026年も依然として主要な脅威であり続けています。 Red Canaryの2026年脅威検知レポート」では第4位にランクインし、監視対象の顧客の3.1%に影響を与えており、PlayおよびAkiraといったランサムウェアグループによって積極的に利用されています。
  • シグネチャベースの検知だけではもはや不十分です。2026年にCrowdStrikeが検知した事例の82%は マルウェアを含んでいませんでした。これは、攻撃者がPowerShellの亜種、ファイル名の変更されたバイナリ、およびメモリ内実行を通じて、ファイルベースのシグネチャを日常的に回避していることを意味します。
  • 多層防御こそが唯一の確実な戦略です。Credential Guard、LSA Protection、WDigestの強化、および振る舞い 連携して機能する必要がありますMimikatzによるあらゆる攻撃経路を阻止できる単一の対策は存在しないからです。
  • Mimikatzは、4つの戦術にわたる17MITRE ATT&CK に対応しています。このため、NIST CSFおよびCIS Controlsのコンプライアンスプログラムにおいて、対処すべき重要なツールとなっています。
  • 振る舞い ITDRこそが未来です。静的なルールから行動分析による脅威の検知・対応へと移行した組織は、認証情報の盗難を検知するまでの平均時間を劇的に短縮しています。

環境内のあらゆる認証情報は、潜在的な万能鍵となり得ます。10年以上にわたり認証情報の窃取を助長してきたオープンソースツール「Mimikatz」は、依然として実環境において最も危険なポストエクスプロイトツールの一つです。MITRE ATT&CK (S0002)によると、50以上の高度な持続的脅威 APTグループがこれを利用しています。2025年のVerizon DBIRによると、侵害事例の22%において、盗まれた認証情報が最初の侵入経路となっていました。防御担当者にとって、Mimikatzを理解することは「任意」ではなく、「必須」なのです。

Mimikatzとは何ですか?

Mimikatzは、フランスのセキュリティ研究者ベンジャミン・デルピー(gentilkiwi)が2011年に開発したオープンソースのWindows認証情報抽出ツールであり、Windowsが認証情報をメモリに保存する方法の脆弱性を実証するために作成されました。当初は概念実証(PoC)として開発されましたが、瞬く間に世界中のペネトレーションテスターや攻撃者によって、最も広く採用されるポストエクスプロイトツールの一つとなりました。

「Mimikatz」という名前は、フランス語のスラングである「mimi」(かわいい)と「katz」(猫)を組み合わせたもので、数十億ドルの損害をもたらしたツールとしては、一見すると遊び心のある名前です。Mimikatzはウイルスでもなければ マルウェア ではありません。これは二重用途のセキュリティツールであり、脅威アクターによる悪用が頻発していることから、アンチウイルスベンダーによって「HackTool:Win32/Mimikatz」として分類されています。許可されたセキュリティテストのためにMimikatzを所持・使用することは合法です。しかし、許可なくシステムに対してこれを使用することは、米国のCFAA(コンピュータ詐欺・濫用法)や英国のコンピュータ不正使用法などのコンピュータ詐欺関連法に違反します。

Mimikatzの重要性は、その普及規模にあります。MITRE ATT&CK 、活動の一環としてMimikatzを展開している50以上の脅威MITRE ATT&CK 。Red Canaryの2026年脅威検知レポート」では、Mimikatzは脅威ランキングで第4位に位置付けられており、レッドチームによるテスト活動を除外した後でも、監視対象顧客の3.1%に影響を及ぼしています。

2026年になってもMimikatzが依然として重要な理由

Mimikatzは登場から15年以上が経過しているにもかかわらず、その重要性はかつてないほど高まっています。2025年6月(Playランサムウェア) および2025年11月(Akiraランサムウェア)に更新されたCISAの勧告は、現在進行中の攻撃キャンペーンにおいてMimikatzが依然として活発に利用されていることを裏付けています。2025年のVerizon DBIRレポートによると、ランサムウェア被害者の54%は、以前に情報窃取型マルウェアのログで漏洩した認証情報を保有していたことが判明しています。これはまさにMimikatzが収集する種類の認証情報です。Benjamin Delpy氏は、新しいWindowsのセキュリティ機能に対応するため、このツールを継続的に更新しており、防御設定が適切に行われていない場合、Windows 10やWindows 11を含む最新のオペレーティングシステムに対しても、その有効性を維持しています。

Mimikatzの仕組み

Mimikatzは、セキュリティポリシーの適用やユーザー認証の処理を担当するプロセスである、Windowsのローカルセキュリティ権限サブシステムサービス(LSASS)を標的としています。LSASSは、ユーザーがパスワードを再入力することなくネットワークリソースにアクセスできるよう、認証情報をメモリ内に保存しています。Mimikatzは、LSASSプロセスのメモリ領域から認証情報を直接読み取ることで、この設計上の仕組みを悪用します。

LSASSのメモリにアクセスするには、Mimikatzは管理者またはSYSTEMレベルの権限昇格、具体的にはSeDebugPrivilegeトークンを必要とします。権限が昇格されると、このツールは主に3つのモジュールを使用します:

  • sekurlsa— NTLMハッシュ、Kerberosチケット、WDigest平文パスワードなど、LSASSプロセスのメモリから認証情報を直接抽出します
  • lsadump— SAMデータベース、LSAシークレット、およびActive Directoryレプリケーションデータ(DCSync攻撃で使用される)から認証情報を読み取ります
  • kerberos— ゴールデンチケット攻撃およびシルバーチケット攻撃のためにKerberosチケットを操作する

特に危険な亜種として挙げられるのが「Invoke-Mimikatz」です。これはPowerSploitフレームワークに含まれるPowerShellスクリプトであり、ディスクに書き込むことなく、Mimikatzを完全にメモリ上で実行します。Red Canaryの2026年レポートでは、-dumpcredsパラメータを指定したInvoke-Mimikatzが、観測された中で最も一般的な実行手法であると指摘されています。このファイルレスな手法は、ファイルベースのシグネチャ検出を完全に回避するため、アンチウイルスソフトのみに依存している防御側は、大きな不利な立場に置かれることになります。

Mimikatzが抽出可能な認証情報の種類

図:LSASSメモリ抽出の流れ — MimikatzはSeDebugPrivilegeを取得し、LSASSプロセスにアクセスした後、NTLMハッシュ、Kerberosチケット、WDigest平文パスワード、およびDPAPIキーを抽出します。
図:LSASSメモリ抽出の流れ — MimikatzはSeDebugPrivilegeを取得し、LSASSプロセスにアクセスした後、NTLMハッシュ、Kerberosチケット、WDigest平文パスワード、およびDPAPIキーを抽出します。

資格の種類 保管場所 攻撃を有効にする 検知インジケーター
NTLMハッシュ LSASSのメモリ パス・ザ・ハッシュ (T1550.002) lsass.exe における Sysmon イベント ID 10
Kerberos TGT/TGS LSASSのメモリ チケット回し(T1550.003)、ゴールデン/シルバーチケット 異常なチケット要求(イベント ID 4769)
WDigest 平文 LSASSメモリ(有効になっている場合) 資格情報の直接再利用 レジストリ値「UseLogonCredential」= 1
SAMデータベース レジストリのハイブ ローカルアカウントの乗っ取り SAMハイブへのレジストリアクセス
LSAの秘密 レジストリ/メモリ サービスアカウントの侵害 LSAシークレットへの不正アクセス
DPAPIキー LSASSのメモリ 保護されたデータの復号化 DPAPIのBlobアクセスパターン

表:MimikatzがWindowsのメモリから抽出できる認証情報の種類。

Mimikatzの攻撃手法

Mimikatzは、認証情報の窃取、チケットの偽造、ドメインの複製など、6つの主要な攻撃手法を可能にします。それぞれがMITRE ATT&CK に対応しており、独自の検知指標を持っています。

テクニック MITRE ID 機能 検知インジケーター
ハッシュの転送 T1550.002 盗まれたNTLMハッシュを使用して、平文のパスワードを知らなくても認証を行う 予期しないホストからの NTLM 認証 (イベント ID 4624、ログオン種別 9)
ゴールデンチケット T1558.001 KRBTGTハッシュを使用してKerberos TGTを生成し、ドメインへの無制限のアクセス権を取得する 有効期間が異常なTGT、またはDC以外によって発行されたTGT(イベントID 4769)
シルバーチケット T1558.002 ドメインコントローラーに問い合わせることなく、特定のサービス用のTGSチケットを生成する TGTリクエストを伴わないサービスチケット
DCSync T1003.006 ディレクトリ複製プロトコルを使用して、ADの認証情報をリモートで複製します DC以外からの異常な DS-Replication-Get-Changes 要求 (イベント ID 4662)
ハッシュを飛び越える T1550.002 NTLMハッシュをKerberosチケットに変換し、NTLMの制限を回避する 予期しない送信元からのRC4暗号化されたKerberos AS-REQ
チケット回し T1550.003 盗んだKerberosチケットを再利用して、ユーザーになりすます チケットが、最初の認証時とは異なるIPアドレスから使用されました

表:MITRE ATT&CK に対応した Mimikatz の攻撃MITRE ATT&CK 検知指標

パス・ザ・ハッシュとパス・ザ・チケット

パス・ザ・ハッシュ攻撃は、抽出されたNTLMハッシュを利用して、パスワードを解読することなくリモートサービスへの認証を行うものです。攻撃者は、単にそのハッシュを認証プロトコルに直接提示するだけです。パス・ザ・チケットも同様の仕組みですが、NTLMハッシュの代わりに盗んだKerberosチケットを使用します。どちらの手法もネットワーク内での横方向の移動を可能にし、ブルートフォース攻撃に比べてフォレンジック上の痕跡が極めて少ないため、特に危険です。

ゴールデンチケット攻撃とシルバーチケット攻撃

ゴールデンチケット攻撃は、Mimikatzが持つ最も破壊的な機能の一つです。Active Directory内のすべてのKerberosチケット付与チケットを暗号化する鍵であるKRBTGTアカウントのハッシュを抽出することで、攻撃者は、実在しないユーザーを含め、あらゆるユーザーに対して無制限のドメインアクセス権を付与するTGTを偽造することができます。 ゴールデンチケットは、KRBTGTのパスワードが2回リセットされるまで有効です。一方、シルバーチケット攻撃はより標的を絞ったもので、サービスアカウントのハッシュを使用して特定のサービス向けのチケットを偽造します。シルバーチケットの影響範囲は狭いものの、ドメインコントローラーを完全に迂回するため、検知が困難です。

DCSync攻撃

DCSyncは、Mimikatzの特に危険な手法の一つです(T1003.006) これは、ドメイン コントローラーになりすまして、Active Directory レプリケーション プロトコルを介して認証情報を要求するものです。LSASS メモリ抽出とは異なり、DCSync はリモートで動作するため、攻撃者は標的となるドメイン コントローラーに直接アクセスする必要がありません。この攻撃には DS-Replication-Get-Changes 権限が必要ですが、この権限はデフォルトでドメイン管理者およびドメイン コントローラー アカウントに付与されています。検知には、監視が不可欠です イベント ID 4662 ドメイン コントローラー以外のソースから送信されるレプリケーション要求について。以下の機能を使用している組織では Kerberoasting 検知事例では、DCSyncが攻撃チェーンにおける自然なエスカレーションとして扱われることがよくあります。

Mimikatzの実践:実世界の攻撃

Mimikatzは、史上最も破壊的なサイバー攻撃のいくつかにおいて中心的な役割を果たしてきました。Verizonの2025年版DBIRによるとランサムウェア被害者の54%は、以前に情報窃取ツールのログで認証情報が流出していたことが判明しており、これは認証情報窃取ツールが現実世界に与える影響の大きさを浮き彫りにしています。

  • NotPetya(2017年)— 史上最も甚大な経済的被害をもたらしたサイバー攻撃であり、資格情報の抽出とWMICおよびPsExecを介した横方向の移動を行うために改変されたMimikatzが組み込まれており、世界中で100億ドル以上の損害をもたらした。
  • Playランサムウェア(2023年~2025年)約900の組織が被害を受けた。攻撃者はLSASSダンプを利用してミニダンプファイルを取得し、その後オフラインで認証情報を抽出していた。CISAのアドバイザリは2025年6月に更新された。
  • Akiraランサムウェア(2025年)— チェーン化された攻撃シーケンスにおいて、Kerberoasting ダンプ、およびMimikatzKerberoasting 認証情報の抽出を組み合わせています。CISAのアドバイザリは2025年11月に更新されました。
  • SLOW#TEMPEST (2024-2025)— RDPのrestrictedadminモードを介して、 Cobalt Strike MimikatzCobalt Strike pass-the-hash攻撃を組み合わせ、東アジアの組織を標的とした攻撃。
  • APT34/OilRig— このイラン系の脅威グループは、中東のエネルギー部門のインフラを標的とした認証情報ダンプ攻撃キャンペーンにおいて、LaZagneと併せてMimikatzを展開した

これらの事例はいずれも、一貫したパターンを示しています。攻撃者は初期アクセス権を取得し、権限を昇格させ、Mimikatzやその派生ツールを展開して認証情報を収集した後、環境内を横方向に移動します。この一連のプロセスのいずれかの段階を阻止することで、被害の拡大範囲を限定することができます。

Mimikatzの検知と防止

Mimikatzに対する効果的な防御には、LSASSへのアクセス監視、振る舞い 、Credential Guard、および権限の削減を組み合わせた多層的な対策が必要です。単一のソリューションでは、すべての攻撃経路を阻止することはできません。Red Canaryの2026年レポートでは、「MimikatzのようなLSASSを悪用するツールを従来の方法で検知する時代は……はるか昔のものとなった」と述べられています。脅威検知もそれに応じて進化させなければなりません。

Mimikatzの検知技術

SOCチームは、静的なシグネチャよりも振る舞い 優先すべきです。以下は、監視レイヤーごとに分類した検知チェックリストです:

検出方法 監視すべき事項 イベントソース 注記
LSASSへのアクセス監視 GrantedAccess 0x1010 または 0x1410 で lsass.exe にアクセスするプロセス Sysmon イベント ID 10 高精度な信号;正規のセキュリティツールに合わせて調整する
PowerShellのログ記録 「Invoke-Mimikatz」または「sekurlsa」を含むスクリプトブロック PowerShell ScriptBlock のログ記録 (イベント ID 4104) ファイルレス実行の亜種を検出します
Kerberosの異常 異常な有効期間を持つTGT、またはRC4暗号化 Windows セキュリティ イベント ID 4769 「ゴールデンチケット」または「オーバーパス・ザ・ハッシュ」を示す
DCSync検出 ドメイン コントローラー以外の IP アドレスからのレプリケーション要求 Windows セキュリティ イベント ID 4662 DCSync攻撃の可視化において極めて重要
認証情報のダンプ LSASS ミニダンプ ファイルの作成 Sysmon イベント ID 11(ファイルの作成) 「Play」ランサムウェアはこの手法を使用しています
特権の昇格 SeDebugPrivilege トークンの割り当て Windows セキュリティ イベント ID 4672 Mimikatzを標準的に実行するための前提条件
横方向の動き 予期しない送信元からのNTLM認証 Windows セキュリティ イベント ID 4624 (タイプ 9) ハッシュ値の受け渡しを示すシグナル
振る舞い 異常なSMBパターン、特異なプロセス系統 NDRおよびUEBAプラットフォーム シグネチャ検出を回避する亜種を検知する

表:SOCチーム向けMimikatz検知チェックリスト

自動アラートを待つのではなく、これらのインジケーターに対して能動的な脅威ハンティングを行うことで、検知までの平均時間を劇的に短縮できます。SplunkのLSASSハンティングガイドおよびRed CanaryのLSASSメモリ手法分析は、検知エンジニアリングに関するさらなる知見を提供します。

Windowsにおける認証情報の盗難に対する防御策

以下の予防策により、Mimikatzが実行される前に攻撃対象領域を縮小できます:

  1. Credential Guard を有効にする— 仮想化ベースのセキュリティ (VBS) を使用して、認証情報を LSASS から分離します。Microsoft は、サポート対象のすべてのシステムでHVCI とともに Credential Guard を有効にすることを推奨しています。なお、既知の回避手法(NativeBypassCredGuard など)が存在するため、多層防御が依然として必要です。
  2. LSA保護(PPL)を有効にする— Protected Process Light(PPL)は、LSASSメモリにアクセスできるプロセスを制限し、標準的なMimikatzによるデータ抽出をブロックします。
  3. WDigest認証を無効にする — レジストリキーを設定する HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential 0 に設定して、パスワードが平文で保存されないようにします。
  4. 最小権限のアクセスを実装する— 管理者権限またはドメイン管理者権限を持つアカウントの数を減らす。
  5. KRBTGT パスワードの管理— 「ゴールデンチケット」の侵害が疑われる場合、インシデント対応の一環として、KRBTGT アカウントのパスワードを二重にリセットしてください。
  6. エンドポイント検出を導入する— Windows Defenderは既知のMimikatzバイナリ(HackTool:Win32/Mimikatz)を検出しますが、攻撃者はバイナリの改変、カスタムコンパイル、PowerShellの亜種などを用いて、シグネチャベースの検出を常套手段として回避しています。

Mimikatz、MITRE ATT&CK、およびコンプライアンス

Mimikatzは、4つのカテゴリにまたがる17の手法に対応しています MITRE ATT&CK 戦術にまたがる17のテクニックに対応しており、このフレームワークにおいて最も広範に適用可能なツールの一つとなっています(S0002)。コンプライアンス・フレームワークを採用している組織は、これらのテクニックを管理要件に直接マッピングすることができます。

戦術 テクニックID 技術名 検出アプローチ
クレデンシャル・アクセス T1003.001 LSASSのメモリ Sysmon イベント ID 10、LSASS アクセス監視
クレデンシャル・アクセス T1003.006 DCSync イベント ID 4662、レプリケーション トラフィックの分析
ラテラルムーブ T1550.002 ハッシュの転送 イベント ID 4624、タイプ 9、予期しない NTLM 認証
クレデンシャル・アクセス T1558.001 ゴールデンチケット イベント ID 4769、TGT の有効期間に異常

表:MITRE ATT&CK NISTサイバーセキュリティフレームワーク Mimikatzの手法に関する対応表。

これらのマッピングは、NIST CSFのコントロールであるPR.AC-1(認証情報管理)、DE.CM-1(ネットワーク監視)、およびRS.AN-1(調査)と整合しています。CIS Controls v8では、コントロール5(アカウント管理)、6(アクセス制御)、8(監査ログ)、および16(アプリケーションソフトウェアのセキュリティ)を通じて、Mimikatzに関連するリスクに対処しています。

資格情報の盗難を防ぐための最新の手法

業界では、シグネチャベースのMimikatz検知から、振る舞い ID中心のアプローチへと移行しつつあります。CrowdStrikeの「2026年グローバル脅威レポート」によると、検知事例の82%が マルウェアを伴わないものであり、AIを活用した攻撃者の活動は前年比89%増加したことが確認されています。静的ルールでは、もはやこの変化に対応しきれないのです。

ネットワーク検知・対応(NDR)、認証情報の盗難によって可能となる横方向の移動パターンを可視化します。ID脅威検知・対応(ITDR)は、Active DirectoryやクラウドIDプロバイダーにおける認証動作を監視し、シグネチャではなく振る舞い 検知することで、パス・ザ・ハッシュ攻撃、ゴールデンチケット攻撃、DCSync攻撃を捕捉します。

Vectra AI 認証情報盗難Vectra AI 検知手法

Vectra AI Attack Signal Intelligence 、現代のネットワーク全体にわたるIDベースの攻撃シグナルをAttack Signal Intelligence 、シグネチャではなく振る舞い を通じて、パス・ザ・ハッシュやゴールデンチケット攻撃といった認証情報窃取の挙動を検知します。このプラットフォームは、オンプレミスのActive DirectoryからクラウドのIDプロバイダーまでを網羅しており、SOCチームがMimikatz型の攻撃をリアルタイムで検知・対応できるようにすることで、検知までの平均時間を数時間から数分に短縮します。

今後の動向と新たな考察

認証情報の盗難をめぐる状況は急速に変化しており、今後12~24カ月の間に、Mimikatzや関連ツールに対する組織の防御策を一新するであろういくつかの動向が見込まれています。

AIを活用した認証情報攻撃が急増している。IBM X-Forceの2026年レポートによると、30万件以上のChatGPT認証情報が情報窃取型マルウェアによって盗み出されており、従来のActive Directory認証情報と同様に、AIサービスのアカウントも重要な標的になりつつあることが示唆されている。組織が特権アクセス権を持つAIエージェントをさらに導入するにつれ、認証情報窃取ツールの攻撃対象領域は大幅に拡大している。

「リビング・オフ・ザ・ランド」 クレデンシャルダンプ攻撃が増加している。攻撃者は、Mimikatzを一切展開する必要がないよう、comsvcs.dll MiniDumpやProcDump(正規のMicrosoft Sysinternalsツール)といったWindows組み込みツールを用いてLSASSメモリをダンプする ケースが増えている。防御側は、ツールそのものではなく、LSASSへのアクセスパターンといった動作を監視する必要がある。

サードパーティおよびサプライチェーンにおける認証情報の漏洩が倍増しています。ベライゾンの「DBIR 2025」によると、外部パートナーが関与する情報漏洩は前年比で倍増し、30%に達しました。パートナー環境に導入された認証情報窃取ツールは、相互に連携する組織のセキュリティを脅かす可能性があります。このため、ゼロトラストアーキテクチャと継続的な本人確認は、もはやオプションではなく、不可欠なものとなっています。

規制の圧力は高まっています。NIST CSF 2.0 のようなフレームワークや、変化し続ける SEC の開示要件により、組織は具体的な認証情報保護対策や検知能力を実証することが求められています。Mimikatz などのツールに対するMITRE ATT&CK 文書化することは、単なるベストプラクティスにとどまらず、コンプライアンス上の要件となりつつあります。

組織は、こうした動向に先手を打つため、振る舞い 機能、ITDRプラットフォーム、および特権アクセス管理への投資を優先すべきである。

結論

Mimikatzは、Windows認証の根本的な設計上の特性を悪用しているため、15年以上にわたり、主要な認証情報窃取ツールとしての地位を維持し続けています。LSASSメモリに保存されている認証情報――NTLMハッシュ、Kerberosチケット、そして場合によっては平文のパスワード――は、横方向の移動、権限昇格、およびドメインの支配を実現するための鍵となります。

Mimikatzへの防御には、シグネチャベースの検知から振る舞い 転換が必要です。LSASSへのアクセスパターンを監視し、Credential GuardとLSA Protectionを有効にし、WDigestを無効にし、特権アカウントを削減するとともに、単なるバイナリだけでなく、その動作を検知できるID脅威検知ソリューションへの投資を行う必要があります。最も成果を上げている組織は、システムがすでに侵害されていると想定し、内部に潜伏している攻撃者の特定に注力している組織です。

Attack Signal Intelligence ハイブリッド環境全体で認証情報の盗難行為をどのようにAttack Signal Intelligence については、Vectra AI をご覧いただくか、デモをご請求ください

よくある質問 (FAQ)

Mimikatzはウイルスですか?

Mimikatzは違法ですか?

MimikatzとMeterpreterの違いは何ですか?

MimikatzはWindows 10とWindows 11で動作しますか?

Mimikatzの代替ツールにはどのようなものがありますか?

Invoke-Mimikatzとは何ですか?

Windows DefenderはMimikatzを検出できますか?