マイクロソフト、将来のWindowsリリースでNTLMをデフォルトで無効化へ
マイクロソフトは、今後リリースされるWindowsにおいて、30年間使われてきた認証プロトコルであるNTLM(New Technology LAN Manager)をデフォルトで無効化すると発表しました。これは、NTLMがサイバー攻撃の標的となりやすいセキュリティ上の脆弱性を抱えているためです。
NTLMとは?:30年来のプロトコルの脆弱性
NTLMは、1993年にWindows NT 3.1で導入されたチャレンジ/レスポンス認証プロトコルで、LAN Manager(LM)プロトコルの後継として登場しました。Windows 2000以降では、より安全なKerberosがデフォルトの認証プロトコルとなっていますが、NTLMはKerberosが利用できない場合のフォールバック認証方法として現在も使用されています。
しかし、NTLMは暗号化が弱く、多数の攻撃に対して脆弱であることが長年指摘されてきました。特に、「NTLMリレー攻撃」(攻撃者が侵害したネットワークデバイスに、攻撃者が制御するサーバーに対して認証を強制する)や「パス・ザ・ハッシュ攻撃」(システム脆弱性を悪用してNTLMハッシュを盗み出し、侵害されたユーザーとして認証を行う)などにより、攻撃者は特権を昇格させ、Windowsドメインを完全に制御することが可能でした。
具体的な脆弱性として、PetitPotam、ShadowCoerce、DFSCoerce、RemotePotato0などが挙げられ、NTLMリレー攻撃の緩和策を回避するために悪用されてきました。
マイクロソフトの移行計画:より安全な認証への道筋
マイクロソフトは、パスワードレスでフィッシング耐性のある認証方法への広範な移行の一環として、NTLMのデフォルト無効化を発表しました。これには、3段階の移行計画が示されています。
- フェーズ1(現在): Windows 11 24H2およびWindows Server 2025で利用可能な強化された監査ツールを使用して、NTLMがまだ使用されている箇所を特定できます。
- フェーズ2(2026年後半): IAKerbやローカルキー配布センター(Local Key Distribution Center)などの新機能が導入され、NTLMフォールバックを引き起こす一般的なシナリオに対処します。
- フェーズ3(将来のリリース): ネットワークNTLMがデフォルトで無効化されます。ただし、プロトコル自体はOS内に残存し、ポリシーコントロールを通じて明示的に再有効化することが可能です。
マイクロソフトは、「NTLMのデフォルト無効化は、NTLMをWindowsから完全に削除することを意味するものではない。代わりに、ネットワークNTLM認証がブロックされ、自動的に使用されなくなる『デフォルトでセキュアな状態』でWindowsが提供されることを意味する」と述べています。そして、「OSは、よりモダンでセキュアなKerberosベースの代替手段を優先するだろう」と付け加えています。
過去の警告と将来の展望
マイクロソフトは、2023年10月にはNTLM認証プロトコルの廃止計画を初めて発表し、2024年7月にはWindowsおよびWindowsサーバー上でのNTLM認証を公式に非推奨としました。さらに、2010年以降、開発者に対してはNTLMの使用を停止するよう、Windows管理者に対してはNTLMを無効にするか、Active Directory証明書サービス(AD CS)を使用してNTLMリレー攻撃をブロックするように設定するよう助言してきました。
今回の発表は、長年の警告と段階的な廃止プロセスを経て、マイクロソフトがより安全な認証エコシステムへの移行を最終的に実行するという強力なメッセージとなります。これにより、企業のセキュリティ態勢が大幅に強化されることが期待されます。