Microsoftは、組織をサイバー攻撃にさらすセキュリティ脆弱性があるとして、今後のWindowsリリースで30年もののNTLM認証プロトコルを既定で無効化すると発表しました。
NTLM(New Technology LAN Managerの略)は、1993年にWindows NT 3.1で導入されたチャレンジレスポンス方式の認証プロトコルで、LAN Manager(LM)プロトコルの後継です。
KerberosはNTLMに取って代わり、現在ではWindows 2000以降を実行するドメイン接続デバイスの既定プロトコルとなっています。古いWindowsバージョンでは既定プロトコルでしたが、NTLMは暗号が弱く攻撃に脆弱であるにもかかわらず、Kerberosが利用できない場合のフォールバック認証方式として、現在でも使われています。
リリース以来、NTLMはNTLMリレー攻撃(脅威アクターが侵害したネットワークデバイスに、攻撃者が制御するサーバーに対して認証させる)で広く悪用され、権限昇格やWindowsドメインの完全掌握に利用されてきました。それにもかかわらず、NTLMはWindowsサーバーで依然として使用されており、攻撃者はPetitPotam、ShadowCoerce、DFSCoerce、RemotePotato0といった脆弱性を悪用して、NTLMリレー攻撃の緩和策を回避できます。
NTLMはまた、パス・ザ・ハッシュ攻撃の標的にもなってきました。これは、サイバー犯罪者がシステムの脆弱性を悪用したり悪意あるソフトウェアを展開したりして、標的システムからNTLMハッシュ(ハッシュ化されたパスワード)を窃取するものです。これらのハッシュ化パスワードは侵害されたユーザーとして認証するために使用され、攻撃者は機密データを盗み、ネットワーク内を横方向に拡散できます。
「ブロックされ、自動的には使用されなくなる」
木曜日、パスワードレスでフィッシング耐性のある認証方式へのより広範な移行の一環として、Microsoftは、次期主要Windows Serverリリースおよび関連するWindowsクライアントバージョンで、ついにNTLMが既定で無効化されると発表しました。これは、レガシープロトコルから、より安全なKerberosベースの認証へと大きく舵を切るものです。
Microsoftはまた、混乱を最小限に抑えつつNTLM関連リスクを軽減するために設計された、3段階の移行計画を示しました。第1段階では、管理者はWindows 11 24H2およびWindows Server 2025で利用可能な強化された監査ツールを使用して、NTLMがまだ使用されている箇所を特定できるようになります。
2026年後半に予定されている第2段階では、IAKerbやローカルKey Distribution Centerなどの新機能が導入され、NTLMへのフォールバックを引き起こす一般的なシナリオに対処します。
第3段階では、将来のリリースでネットワークNTLMが既定で無効化されます。ただし、プロトコル自体はOS内に残り、必要に応じてポリシー制御により明示的に再有効化できます。
「NTLMを既定で無効化することは、現時点でWindowsからNTLMを完全に削除することを意味するものではありません。代わりに、ネットワークNTLM認証がブロックされ、自動的には使用されなくなる“セキュア・バイ・デフォルト”の状態でWindowsが提供されることを意味します」と、Microsoftは述べています。
「OSは、最新でより安全なKerberosベースの代替手段を優先します。同時に、一般的なレガシーシナリオは、ローカルKDCやIAKerb(プレリリース)といった今後の新機能によって対処されます。」
Microsoftは2023年10月に、NTLM認証プロトコルを廃止する計画を初めて発表し、環境内でのNTLM使用状況の監視と制限において管理者により大きな柔軟性を与えるため、管理コントロールも拡充したいと述べていました。
また、2024年7月にはWindowsおよびWindowsサーバーでNTLM認証を正式に非推奨とし、将来の問題を防ぐため、開発者に対してKerberosまたはネゴシエーション認証へ移行するよう助言しました。
Microsoftは2010年以降、開発者に対してアプリでNTLMの使用をやめるよう警告しており、Windows管理者には、NTLMを無効化するか、Active Directory Certificate Services(AD CS)を使用してNTLMリレー攻撃をブロックするようサーバーを構成することを推奨してきました。
