Kerberoasting（ケルベロスティング）は、Windows Active Directory（AD）環境に対する攻撃手法の一つである。この攻撃は、ケルベロス認証プロトコルの仕様の一部を悪用し、正規のユーザーとして認証された攻撃者が、Active Directoryドメイン内のサービスアカウントに関連付けられたサービスチケット（TGSチケット）を要求・抽出し、オフライン環境でそのチケットを解析することで、サービスアカウントの平文パスワードを詐取する^[1]。Active Directoryは認証・認可の基盤であるため、Kerberoastingによる侵害は組織全体のリソースへの不正アクセスにつながるリスクが高い。特に、特権昇格攻撃やラテラルムーブメントにつながり、その検知の困難さと影響の大きさからセキュリティ上の重大な懸念事項となっている^[2][3]。

Kerberoasting攻撃は、2014年にセキュリティ研究者のTim Medinによって公に紹介された^[4]。この手法は未知の脆弱性を突くものではなく、1980年代から存在するKerberosプロトコルの標準的な動作仕様と、Active Directoryの実装における後方互換性の維持という特性を組み合わせたものである^[4]。

Kerberosプロトコル（RFC 4120）は、チケットベースのシステムを通じてクライアントとサービス間の相互認証を実現するが、その設計には中央集権的なKDCへの依存や、オフラインでのパスワード攻撃に対する脆弱性などの構造的な課題が含まれている。特に、古いシステムとの互換性のためにRC4などの脆弱な暗号化がデフォルトで有効化されている環境が多く、これが攻撃者にとって有利な条件となっている^[5]。

Kerberoastingは、Active Directory環境の司令塔であるDC（ドメインコントローラー）が、ケルベロス認証プロセスの第2段階であるTGSチケットを発行する際の仕様を悪用した攻撃手法である^[6]。

具体的には、認証済みユーザーが特定のサービス利用をリクエストした際、DCが詳細なアクセス権限の検証を行わずに、そのサービスアカウントのパスワードハッシュで暗号化したチケットを払い出す仕組みを標的とする^[7]。攻撃者はこの正当な手順で入手したチケットをメモリ上から抽出し、ネットワークから隔離されたオフライン環境でブルートフォース攻撃を仕掛けることで、暗号化の鍵となっているサービスアカウントのパスワード特定を試みる。

攻撃の対象となるのは、サービスプリンシパル名（SPN）が設定されたユーザーアカウントである^[8]。これは、パスワードの複雑性が低く、長期間変更されていない傾向があるからである^[9]。攻撃者は侵入したドメイン内で、LDAPクエリやPowerShell（PowerViewなど）を用いて、SPNが設定されているユーザーアカウントを列挙する。特に高い権限を持つアカウント（SQL Server管理者やバックアップ管理者など）が選定される^[10]。その後、攻撃ツール（Rubeus、Impacketなど）を使用し、標的となるSPNのサービスチケットを一括で要求する。取得されたチケットはハッシュ形式で抽出され、Hashcatなどのクラッキングツールを用いてオフラインで解析される^[6]。このプロセスはDCへのログオンを必要とせず、通常の業務通信に紛れて行われるため、シグネチャベースの検知システムを回避しやすい。

Kerberoastingの成否は、チケットの暗号化に使用されるアルゴリズムとパスワードの強度に依存する。

• RC4-HMAC - ソルトを使用せず、NTLMハッシュを鍵として利用するため解析が容易である。GPUを用いた攻撃に対して非常に脆弱であり、数時間から数日で解析されるリスクがある^[4]。

• AES-128/256 - 鍵導出関数にPBKDF2（4,096回の反復）とソルトを使用するため、RC4と比較して解析コストが著しく高い。しかし、パスワード自体が脆弱（辞書にある単語など）であれば、AESであっても解析される可能性がある^[4]。

マイクロソフトはWindows Server 2025以降でRC4をデフォルトで無効化する方針を示しているが、既存環境では互換性のために残存しているケースが多い^[9]。また、GPUの進化（例：NVIDIA RTX 5090など）により、解析速度は年々向上している。

2024年から2025年にかけた調査によると、アイデンティティを標的とした攻撃は急増しており、Kerberoasting攻撃の件数は前年比で大幅に増加している^[3]。近年では、攻撃者は検知を避けるため、カスタムマルウェアの使用を控え、環境にもともと存在するツールや機能（Living off the Land）を悪用する傾向にある。2025年のレポートでは、マルウェアを使用しない攻撃の割合が高い水準にあることが報告されている^[11]。製造業や重要インフラ（通信、エネルギー）などが主な標的となっている。金銭目的の犯罪集団（FIN7など）だけでなく、国家背景を持つAPTグループ（APT29など）も、潜伏と権限維持のためにKerberoastingを採用している^[12][13]。

ドメインコントローラー上のWindowsセキュリティイベントログにおいて、イベントID 4769（Kerberosサービスチケットの要求）を監視する^[14]。監視内容は以下のとおりである。

• RC4暗号化（0x17）の使用
• 短時間での大量のチケット要求
• 特定のオプションフラグ（0x40810000など）の出現パターン^[15]

ルールベースの検知を回避する攻撃に対抗するため、機械学習を用いた行動分析が研究されている。ユーザーごとのベースラインを学習し、通常の業務と異なるサービスへのアクセスを検知する手法が提案されている^[2]。また、攻撃者を罠にかけるための「ハニートークン」の導入も効果的である。実在しないサービスに関連付けられたSPNを作成し、そのアカウントに対するチケット要求があった時点で攻撃とみなすことで、誤検知を排除した確実な検知が可能となる^[1]。

Kerberoastingのリスクを低減するためには、単一の設定変更ではなく、包括的なアイデンティティ管理が必要となる。

• AES-128/256の使用を強制し、RC4を無効化する。ただし、設定変更後にパスワードのリセットを行わないと新しい鍵が生成されない点に注意が必要である^[9]。
• パスワード管理をマネージドサービスアカウント（gMSA/dMSA）などのOSの機能に委任し、自動的に複雑なパスワード（240文字以上）を定期更新させることで、オフラインクラッキングを事実上不可能にする^[1]。

• 手動管理が必要なアカウントについては、最低でも25文字から30文字以上のパスワードを設定することが推奨される^[16]。

• デバイスやドメインコントローラーへのパッチ適用を徹底し、攻撃者の初期侵入を防ぐ^[17]。

• ケルベロス認証
• Active Directory
• AES-128
• RC4

1. ^ ^{a b c} “How to Protect Active Directory Against Kerberoasting: AD Security 101”. Semperis. 2026年1月21日閲覧。
2. ^ ^{a b} METU. An Analysis Of Kerberoasting Attack And Detection With Supervised Machine Learning Algorithms (PDF) (Report). 2026年1月21日閲覧.
3. ^ ^{a b} “HADES: Detecting and Investigating Active Directory ...”. IEEE Xplore. https://ieeexplore.ieee.org/iel8/8858/4358699/11175589.pdf 2026年1月21日閲覧。. 
4. ^ ^{a b c d} “Kerberoasting - A Few Thoughts on Cryptographic Engineering”. 2026年1月21日閲覧。
5. ^ Active Directory Kerberoasting Attack: Detection using Machine Learning Techniques (PDF) (Report). 2026年1月21日閲覧.
6. ^ ^{a b} “Kerberoasting Attack – Detection and Prevention Strategies”. Netwrix. 2026年1月21日閲覧。
7. ^ “What is a Kerberoasting Attack?”. CrowdStrike. 2026年1月21日閲覧。
8. ^ “Why Kerberoasting Still Matters for Security Teams”. Varonis. 2026年1月21日閲覧。
9. ^ ^{a b c} “Microsoft's guidance to help mitigate Kerberoasting”. Microsoft. 2026年1月21日閲覧。
10. ^ “Kerberoasting Attack Explained: Example And Prevention Guide”. BlackFog. 2026年1月21日閲覧。
11. ^ 2025 Global Threat Report (Report). CrowdStrike. 2026年1月21日閲覧.
12. ^ “What is Kerberoasting Attack?”. SentinelOne. 2026年1月21日閲覧。
13. ^ CyberProof 2025 Mid-Year Cyber Threat Landscape Report (Report). CyberProof. 2026年1月21日閲覧.
14. ^ “Windows Security Log Event ID 4769”. 2026年1月21日閲覧。
15. ^ “Detecting Kerberoasting Activity”. ADSecurity.org. 2026年1月21日閲覧。
16. ^ “Detecting and mitigating Active Directory compromises”. Australian Cyber Security Centre. 2026年1月21日閲覧。
17. ^ IPA. コンピュータウイルス・不正アクセスの届出事例 (PDF) (Report). 2026年1月21日閲覧.