Microsoft、旧来の認証プロトコルNTLMの段階的廃止を発表

Microsoftは、旧来の認証プロトコルであるNew Technology LAN Manager (NTLM) を段階的に廃止し、より堅牢なKerberosベースのオプションへWindows環境を移行させるための3段階アプローチを発表しました。これは、同社がNTLMの非推奨化計画を明らかにしてから2年以上が経過しての具体的な動きとなります。

NTLMが抱えるセキュリティ上の課題

NTLMは、元々ユーザーへの認証、完全性、機密性を提供するために設計されたセキュリティプロトコルでした。しかし、セキュリティ脅威の進化に伴い、現在のセキュリティ基準を満たせなくなっています。MicrosoftのTechnical Program Manager IIであるMariam Gewida氏は、「NTLMは、その脆弱な暗号化の使用により、リプレイ攻撃や中間者攻撃など、さまざまな攻撃に対して脆弱です」と説明しています。NTLMは2024年6月に正式に非推奨化され、もはや更新は提供されていません。

にもかかわらず、多くの企業環境では、レガシーな依存関係、ネットワークの制限、またはアプリケーションロジックに組み込まれているため、Kerberosのような最新のプロトコルが実装できない状況にあり、NTLMの使用が依然として広範に見られます。この状況が、組織をリプレイ、リレー、パスザハッシュ攻撃などのセキュリティリスクに晒しています。

Kerberosへの移行を促す3段階のロードマップ

Microsoftは、この問題を安全な方法で軽減するため、NTLMをデフォルトで無効にするための3段階の戦略を採択しました。このロードマップは、将来的にはポリシー制御を通じて明示的な再有効化が必要となるまで、NTLMを無効にする道筋を示します。

• フェーズ1：可視性の構築と制御（現在利用可能）
  拡張されたNTLM監査機能を使用して、NTLMがどこで、なぜまだ使用されているかをより深く理解するための可視性と制御を構築します。

• フェーズ2：一般的な障害の解消（2026年後半に予定）
  IAKerbやローカルKey Distribution Center (KDC) (プレリリース) のような機能を通じて、NTLMへの移行を妨げる一般的な障害に対処し、コアWindowsコンポーネントを更新してKerberos認証を優先させます。

• フェーズ3：NTLMの無効化
  次期バージョンのWindows Serverおよび関連するWindowsクライアントでNTLMを無効化し、新しいポリシー制御を通じて明示的な再有効化を要求します。

パスワードレスでフィッシング耐性のある未来へ

Microsoftは、この移行をパスワードレスでフィッシング耐性のある未来に向けた主要なステップと位置付けています。これには、NTLMに依存している組織が監査を実施し、依存関係をマッピングし、Kerberosに移行し、非生産環境でNTLM無効化構成をテストし、Kerberosのアップグレードを有効にすることが求められます。

Gewida氏は、「NTLMをデフォルトで無効にするということは、NTLMをWindowsから完全に削除するということではありません」と述べました。「そうではなく、ネットワークNTLM認証がブロックされ、自動的には使用されない、デフォルトで安全な状態でWindowsが提供されることを意味します。OSはより最新で安全なKerberosベースの代替手段を優先します。同時に、ローカルKDCやIAKerb (プレリリース) といった今後の新機能を通じて、一般的なレガシーシナリオにも対処されるでしょう。」

元記事: https://thehackernews.com/2026/02/microsoft-begins-ntlm-phase-out-with.html