Mimikatz

ロシアでの講演会

デルピーは2012年、ある講演会でこのソフトウェアについて講演した^[3]。講演中にデルピーが一度部屋に戻ると、見知らぬ男が彼のラップトップの前に座っていた。その男は部屋を間違えたと謝罪し、立ち去った。講演中には、別の男も彼に近づき、デルピーのプレゼンテーションとソフトウェアのコピーをUSBドライブで渡すよう要求したため、デルピーは彼にコピーを渡した^[3]。

デルピーはこれらの経験に動揺し、ロシアを離れる前にGitHubでソースコードを公開した^[2]。彼は、サイバー攻撃から防御する人々が、この攻撃に対抗するためにコードから学ぶべきだと感じた^[3]。

Windowsのアップデート

2013年、MicrosoftはWindows8.1に、悪用されうる機能をオフにできる機能を追加した^[3]。Windows10ではその機能はデフォルトでオフになっているが、権限昇格を利用して悪用可能な機能をオンにできるため、Rendition Infosecのジェイク・ウィリアムズは依然としてMimikatzが有効であると述べている^[3]。

Invoke-Mimikatzとファイルレス攻撃の展開

2014年、従来の実行ファイル形式ではなく、メモリ上で直接動作するPowerShellスクリプト版のInvoke-Mimikatzが報告された。この手法は、WMIを悪用して実行スケジュールを制御し、PowerShellを通じてディスク上に痕跡を残さない「ファイルレス攻撃」を実現するものである^[6]。

一部の攻撃例では、WMIを介してレジストリを改ざんし、OSのセキュリティ設定を改ざんすることで、現代のWindows環境でもMimikatzによる認証情報の窃取を可能にさせる^[7]。また、他のマルウェアに管理者権限を与えるためにもMimikatzが使用される^[5]。こうした正規の管理ツールを悪用し、他のマルウェアと組み合わせて使用することにより、攻撃の隠密性は飛躍的に向上し、MimikatzはAPT攻撃（高度標的型攻撃）における主要なツールとして定着した^[6]。