Mimikatz（ミミカッツ、ミミカツ^[1]）は、Windows上のメモリに保存されたパスワードやハッシュ値、PINコード、Kerberosチケットなどの認証情報を抽出するマルウェアである^[2][3][4][5]。フランス語のスラングで「かわいい猫」を意味する。フランス人プログラマーのベンジャミン・デルピーによって作成された^[3]。

lsass.exeのプロセスダンプから認証情報を取得する。Mimikatzを悪用して窃取した認証情報は、他のマルウェアの権限を昇格させ、管理者権限で実行するために使われる^[5]。

ベンジャミン・デルピーは、暗号化されたパスワードのコピーとその復号に用いられる鍵が同時にメモリに保持されるという、Microsoft Windowsの脆弱性を発見した^[3]。彼は2011年にMicrosoftへその脆弱性を指摘したが、Microsoftは、マシンが既にセキュリティ侵害されている場合にのみ有効であると回答した。デルピーはこの脆弱性が、セキュリティ侵害された端末からネットワーク上の侵害されていない端末へアクセスするのに利用できることに気づいた^[3]。

彼は2011年5月、このソフトウェアの最初のバージョンをクローズドソースソフトウェアとしてリリースした^[3]。

2011年9月には、このエクスプロイトがDigiNotar（英語版）ハッキング事件で利用された^[3]。

デルピーは2012年、ある講演会でこのソフトウェアについて講演した^[3]。講演中にデルピーが一度部屋に戻ると、見知らぬ男が彼のラップトップの前に座っていた。その男は部屋を間違えたと謝罪し、立ち去った。講演中には、別の男も彼に近づき、デルピーのプレゼンテーションとソフトウェアのコピーをUSBドライブで渡すよう要求したため、デルピーは彼にコピーを渡した^[3]。

デルピーはこれらの経験に動揺し、ロシアを離れる前にGitHubでソースコードを公開した^[2]。彼は、サイバー攻撃から防御する人々が、この攻撃に対抗するためにコードから学ぶべきだと感じた^[3]。

2013年、MicrosoftはWindows8.1に、悪用されうる機能をオフにできる機能を追加した^[3]。Windows10ではその機能はデフォルトでオフになっているが、権限昇格を利用して悪用可能な機能をオンにできるため、Rendition Infosecのジェイク・ウィリアムズは依然としてMimikatzが有効であると述べている^[3]。

2014年、従来の実行ファイル形式ではなく、メモリ上で直接動作するPowerShellスクリプト版のInvoke-Mimikatzが報告された。この手法は、WMIを悪用して実行スケジュールを制御し、PowerShellを通じてディスク上に痕跡を残さない「ファイルレス攻撃」を実現するものである^[6]。

一部の攻撃例では、WMIを介してレジストリを改ざんし、OSのセキュリティ設定を改ざんすることで、現代のWindows環境でもMimikatzによる認証情報の窃取を可能にさせる^[7]。また、他のマルウェアに管理者権限を与えるためにもMimikatzが使用される^[5]。こうした正規の管理ツールを悪用し、他のマルウェアと組み合わせて使用することにより、攻撃の隠密性は飛躍的に向上し、MimikatzはAPT攻撃（高度標的型攻撃）における主要なツールとして定着した^[6]。

Carbanak（英語版）攻撃やドイツ連邦議会へのサイバー攻撃で、このエクスプロイトが使用された^[3]。PetyaやBadRabbit（英語版）などのランサムウェアは、EternalBlue（英語版）およびEternalRomanceのエクスプロイトと組み合わせて、Mimikatzを利用した^[3][8]。

ロシアを拠点とするハッカー集団であるファンシーベアとコージーベア（英語版）も、認証情報の抽出のために使用した^[9][10]。

日本国内でMimikatzを使用して許可なく他人の認証鍵を窃取する行為は、不正アクセス禁止法によって禁じられており、刑事罰を受ける可能性がある^[11]。

Mimikatzを使用して認証情報を窃取するには、Mimikatz自身も管理者権限が必要となるため、ユーザー権限の管理が重要となる。また、ソーシャルエンジニアリングやフィッシングに対するトレーニングの実施も有効とされる^[1]。

テレビドラマ『Mr. Robot』のシーズン2第9話で、アンジェラ・モスが上司のWindowsドメインパスワードを取得するためにMimikatzを使用している^[4][12]。

• ベンジャミン・デルピー -GitHub
• エクスプロイトについて -GitHub