Mimikatz
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/03/06 13:14 UTC 版)
Mimikatz(ミミカッツ、ミミカツ[1])は、Windows上のメモリに保存されたパスワードやハッシュ値、PINコード、Kerberosチケットなどの認証情報を抽出するマルウェアである[2][3][4][5]。フランス語のスラングで「かわいい猫」を意味する。フランス人プログラマーのベンジャミン・デルピーによって作成された[3]。
lsass.exeのプロセスダンプから認証情報を取得する。Mimikatzを悪用して窃取した認証情報は、他のマルウェアの権限を昇格させ、管理者権限で実行するために使われる[5]。
歴史
ベンジャミン・デルピーは、暗号化されたパスワードのコピーとその復号に用いられる鍵が同時にメモリに保持されるという、Microsoft Windowsの脆弱性を発見した[3]。彼は2011年にMicrosoftへその脆弱性を指摘したが、Microsoftは、マシンが既にセキュリティ侵害されている場合にのみ有効であると回答した。デルピーはこの脆弱性が、セキュリティ侵害された端末からネットワーク上の侵害されていない端末へアクセスするのに利用できることに気づいた[3]。
彼は2011年5月、このソフトウェアの最初のバージョンをクローズドソースソフトウェアとしてリリースした[3]。
2011年9月には、このエクスプロイトがDigiNotarハッキング事件で利用された[3]。
ロシアでの講演会
デルピーは2012年、ある講演会でこのソフトウェアについて講演した[3]。講演中にデルピーが一度部屋に戻ると、見知らぬ男が彼のラップトップの前に座っていた。その男は部屋を間違えたと謝罪し、立ち去った。講演中には、別の男も彼に近づき、デルピーのプレゼンテーションとソフトウェアのコピーをUSBドライブで渡すよう要求したため、デルピーは彼にコピーを渡した[3]。
デルピーはこれらの経験に動揺し、ロシアを離れる前にGitHubでソースコードを公開した[2]。彼は、サイバー攻撃から防御する人々が、この攻撃に対抗するためにコードから学ぶべきだと感じた[3]。
Windowsのアップデート
2013年、MicrosoftはWindows8.1に、悪用されうる機能をオフにできる機能を追加した[3]。Windows10ではその機能はデフォルトでオフになっているが、権限昇格を利用して悪用可能な機能をオンにできるため、Rendition Infosecのジェイク・ウィリアムズは依然としてMimikatzが有効であると述べている[3]。
Invoke-Mimikatzとファイルレス攻撃の展開
2014年、従来の実行ファイル形式ではなく、メモリ上で直接動作するPowerShellスクリプト版のInvoke-Mimikatzが報告された。この手法は、WMIを悪用して実行スケジュールを制御し、PowerShellを通じてディスク上に痕跡を残さない「ファイルレス攻撃」を実現するものである[6]。
一部の攻撃例では、WMIを介してレジストリを改ざんし、OSのセキュリティ設定を改ざんすることで、現代のWindows環境でもMimikatzによる認証情報の窃取を可能にさせる[7]。また、他のマルウェアに管理者権限を与えるためにもMimikatzが使用される[5]。こうした正規の管理ツールを悪用し、他のマルウェアと組み合わせて使用することにより、攻撃の隠密性は飛躍的に向上し、MimikatzはAPT攻撃(高度標的型攻撃)における主要なツールとして定着した[6]。
マルウェアでの利用
Carbanak攻撃やドイツ連邦議会へのサイバー攻撃で、このエクスプロイトが使用された[3]。PetyaやBadRabbitなどのランサムウェアは、EternalBlueおよびEternalRomanceのエクスプロイトと組み合わせて、Mimikatzを利用した[3][8]。
ロシアを拠点とするハッカー集団であるファンシーベアとコージーベアも、認証情報の抽出のために使用した[9][10]。
日本国内でMimikatzを使用して許可なく他人の認証鍵を窃取する行為は、不正アクセス禁止法によって禁じられており、刑事罰を受ける可能性がある[11]。
対策
Mimikatzを使用して認証情報を窃取するには、Mimikatz自身も管理者権限が必要となるため、ユーザー権限の管理が重要となる。また、ソーシャルエンジニアリングやフィッシングに対するトレーニングの実施も有効とされる[1]。
大衆文化において
テレビドラマ『Mr. Robot』のシーズン2第9話で、アンジェラ・モスが上司のWindowsドメインパスワードを取得するためにMimikatzを使用している[4][12]。
参照
- ^ a b “Mimikatzとは何か?”. Proofpoint. 2026年3月3日閲覧。
- ^ a b Delpy, Benjamin. “mimikatz -GitHub” (英語). GitHub. 2026年3月4日閲覧。
- ^ a b c d e f g h i j k l m Greenberg, Andy (2017-11-09). “He Perfected a Password-Hacking Tool—Then the Russians Came Calling”. Wired. オリジナルの2017-11-09時点におけるアーカイブ。 2022年5月21日閲覧。.
- ^ a b OTW (Occupying The Web). “Mr. Robot Hacks: How Angela Stole Her Boss' Password Using Mimikatz” (英語). Hackers-Arise. 2026年3月3日閲覧。
- ^ a b c Agcaoili, J. (2021年4月29日). “Locked, Loaded, and in the Wrong Hands: Legitimate Tools Weaponized for Ransomware in 2021” (英語). Trend Micro. 2026年3月4日閲覧。
- ^ a b Kazanciyan, Ryan; Hastings, Matt (2014). “Investigating PowerShell Attacks” (PDF). Black Hat USA 2014 (英語). Black Hat. 2026年3月3日閲覧.
- ^ Varlioglu, S.; Elsayed, N.; Varlioglu, E. R.; Ozer, M. (2024). “The Pulse of Fileless Cryptojacking Attacks: Malicious PowerShell Scripts” (英語). 2024 IEEE SoutheastCon (IEEE). doi:10.1109/SoutheastCon52093.2024.10500068.
- ^ OTW (Occupying The Web) . “The Brief History of Russian Cyberattacks Against Ukraine and the Risks They Pose to the West ” (英語). Hackers-Arise . 2026年3月3日閲覧。
- ^ Alperovitch, Dmitri (2016年6月14日). “Bears in the Midst: Intrusion Into the Democratic National Committee” (英語). CrowdStrike. 2026年3月3日閲覧。
- ^ AirCorridor. “Who is Fancy Bear (APT28) and What Do They Do?” (英語). Hackers-Arise. 2026年3月3日閲覧。
- ^ e-GOV 法令検索「平成十一年法律第百二十八号 不正アクセス行為の禁止等に関する法律」
- ^ Koecher, Ingmar. “Mr. Robot, Mimikatz and Lateral Movement”. 2017年12月21日閲覧。
外部リンク
- Mimikatzのページへのリンク