NTLM認証:仕組みと脆弱性
セキュリティを高めたい
先生、「NTLM」って言葉が出てきたのですが、これは何のことですか?
情報セキュリティ専門家
「NTLM」は、コンピューターがネットワークに接続するときに、本人かどうかを確認するための仕組みの一つだよ。昔はWindowsでよく使われていたんだけど、最近は「Kerberos認証」っていう、もっと安全な仕組みに置き換えられているんだ。
セキュリティを高めたい
そうなんですね。でも、どうして置き換えられたのですか?
情報セキュリティ専門家
「NTLM」には、悪意のある人に侵入されてしまう弱点があったからなんだ。例えば「NTLMリレー攻撃」っていう方法で、パスワードを盗まれてしまう可能性があったんだよ。だから、より安全な「Kerberos認証」が使われるようになったんだね。
NTLMとは。
「エヌティーエルエム」という情報セキュリティの言葉は、ウィンドウズというパソコンのソフトで使われている、ネットワーク上で使う人が本人かどうかを確認するための仕組みのことです。これは、パスワードを特定の計算方法で変換したものを使い、質問と答えのやり取りで本人確認を行う仕組みです。ウィンドウズサーバー2000というソフトまでは使われていましたが、それ以降は「カーベロス認証」という別の仕組みが使われるようになりました。エヌティーエルエムには、「エヌティーエルエムリレー攻撃」など、悪用される可能性のある弱点があります。2023年に見つかったマイクロソフトアウトルックというソフトの弱点(CVE-2023-23397)は、攻撃者がエヌティーエルエムで変換されたパスワードを盗み出すことを可能にしてしまうものです。
NTLM認証とは
– NTLM認証とはNTLM認証は、「New Technology LAN Manager」の略称で、Windows OSがネットワーク上でユーザー確認を行うための仕組みです。Windows NTやWindows XPが主流だった時代には、ネットワークに接続する際の標準的な認証方式として広く使われていました。NTLM認証は、パスワードをそのままネットワーク上に流さない仕組みにはなっているものの、今日のセキュリティ基準から見ると脆弱性が指摘されています。そのため、より安全性の高いKerberos認証が登場してからは、徐々にその座を譲りつつあります。とはいえ、現在でも古いシステムやソフトウェアとの互換性を保つために、NTLM認証が一部で使われているケースがあります。しかし、セキュリティリスクを考慮すると、可能な限りKerberos認証など、より安全な認証方式に移行することが推奨されています。
項目 | 内容 |
---|---|
概要 | Windows OSがネットワーク上でユーザー確認を行うための仕組み |
特徴 | パスワードをそのままネットワーク上に流さない 今日のセキュリティ基準では脆弱性あり |
現状 | Kerberos認証が登場してからは、徐々に置き換えられている 古いシステムとの互換性のために一部で使用されるケースあり |
推奨 | セキュリティリスクを考慮し、Kerberos認証など、より安全な認証方式に移行 |
NTLM認証の仕組み
NTLM認証は、コンピューターネットワークにおいて、ユーザーが誰であるかを証明するための仕組みです。
この仕組みは、パスワードの情報を直接やり取りする代わりに、パスワードから計算したハッシュ値を用いることで、より安全に認証を行うことを目的としています。
具体的には、ユーザーがサーバーへのアクセスを試みると、サーバーはまずランダムなデータの塊をユーザーに送ります。これが「チャレンジ」と呼ばれるものです。ユーザーは、受け取ったチャレンジと、自分が設定したパスワードから計算したハッシュ値を使って、「レスポンス」と呼ばれるデータを作成し、サーバーに返送します。
サーバー側では、あらかじめ保管してあるユーザーのパスワードハッシュ値を使って、同じようにチャレンジからレスポンスを計算します。そして、ユーザーから受け取ったレスポンスと、サーバー側で計算したレスポンスが一致すれば、ユーザーが正しいパスワードを知っているものとみなし、認証が成功となります。
このように、NTLM認証ではパスワードそのものをネットワーク上でやり取りしないため、仮に通信内容が盗聴されても、第三者にパスワードが漏洩してしまうリスクを低減することができます。ただし、NTLM認証は現在では古い技術とされており、より安全性の高い認証方式に移行することが推奨されています。
項目 | 内容 |
---|---|
認証方式 | NTLM認証 |
目的 | ユーザー認証 |
特徴 | パスワードから計算したハッシュ値を用いることで、パスワードを直接やり取りしない |
認証フロー | 1. サーバーからチャレンジ(ランダムなデータ)がユーザーに送信される 2. ユーザーはチャレンジとパスワードからレスポンス(ハッシュ値)を計算し、サーバーに返送 3. サーバーは保管しているパスワードハッシュ値とチャレンジからレスポンスを計算 4. ユーザーから受け取ったレスポンスとサーバー側で計算したレスポンスが一致すれば認証成功 |
メリット | 通信内容が盗聴されてもパスワード漏洩のリスクを低減 |
デメリット | 古い技術であり、より安全性の高い認証方式への移行が推奨 |
NTLM認証の脆弱性
– NTLM認証の脆弱性
NTLM認証は、Windowsシステムにおいて従来から広く利用されてきた認証方式ですが、開発当初からセキュリティ上の問題点が指摘されており、様々な攻撃手法が確立されています。
代表的な攻撃として、-中間者攻撃-の一種である「-NTLMリレー攻撃-」が挙げられます。
この攻撃では、攻撃者はユーザーとサーバー間の通信に侵入し、あたかも正規のサーバーであるかのように振る舞います。そして、ユーザーがサーバーに送信した認証情報を盗聴したり、改ざんしたりすることで、認証を突破したり、情報を窃取したりします。
具体的には、攻撃者はユーザーがサーバーに接続しようとすると、その通信を傍受し、ユーザーに対してはサーバーになりすまして、サーバーに対してはユーザーになりすまして通信を行います。
そして、ユーザーがサーバーに送信したNTLM認証情報を盗聴し、それをそのまま、あるいは改ざんしてサーバーに送信することで、攻撃者は正規のユーザーになりすましてサーバーにアクセスすることが可能になります。
NTLMリレー攻撃は、ネットワーク上に存在する脆弱な設定のデバイスや、セキュリティ意識の低いユーザーを標的にして行われることが多く、攻撃が成功すると、機密情報へのアクセスや、システムの改ざん、サービスの妨害などの深刻な被害につながる可能性があります。
そのため、NTLM認証を利用している場合は、可能な限り安全性の高い認証方式に移行することが推奨されています。
脆弱性 | 説明 | 攻撃手法 | 対策 |
---|---|---|---|
NTLM認証の脆弱性 | Windowsシステムの従来の認証方式で、セキュリティ上の問題点がある。 | 中間者攻撃の一種である「NTLMリレー攻撃」。 攻撃者はユーザーとサーバー間の通信に侵入し、認証情報を盗聴・改ざんして認証を突破する。 |
可能な限り安全性の高い認証方式に移行する。 |
最近の脅威:Outlookのゼロデイ脆弱性
– 最近話題になった脅威Outlookで見つかった問題点2023年に明らかになった、マイクロソフト社のメールソフト「Outlook」に潜んでいた欠陥(CVE-2023-23397)は、攻撃者にパソコンのパスワード情報を盗み出すことを許してしまうという危険なものでした。
具体的には、悪意のある人物が巧妙に偽装したメールをユーザーが開いてしまうと、この欠陥を悪用されて、重要な情報であるNTLMハッシュと呼ばれるパスワード情報が盗み取られてしまう可能性がありました。
NTLMハッシュは、ネットワークへのアクセスに利用される重要な情報であり、これが盗まれるということは、企業のネットワーク全体に不正侵入されたり、機密情報が外部に漏洩したりするリスクを大きく高めることになります。
幸いなことに、マイクロソフト社は既にこの欠陥を修正する対策を講じています。しかしながら、今後もソフトウェアには、発見されていない未知の欠陥が存在する可能性は否定できません。安心のためにも、常に最新の情報を入手し、適切な対策を継続していくことが重要です。
脅威 | 内容 | 対策 |
---|---|---|
Outlookの脆弱性 (CVE-2023-23397) | 悪意のあるメールを開くと、NTLMハッシュ(パスワード情報)が盗まれる可能性があった。 | マイクロソフト社が修正済み。ただし、今後も新たな脆弱性が発見される可能性はあるため、最新情報への注意と適切な対策が必要。 |
対策と推奨事項
– 対策と推奨事項
NTLM認証は、セキュリティ上の脆弱性が知られており、攻撃者に悪用される可能性があります。そのため、組織はNTLM認証を使用しているシステムを特定し、可能な限り速やかに、より安全な認証方式に移行する必要があります。
最も推奨される対策は、NTLM認証を完全に無効化し、Kerberos認証などのより安全な認証方式に切り替えることです。Kerberos認証は、強力な暗号化アルゴリズムを使用しており、NTLM認証よりもはるかに安全です。
組織は、セキュリティポリシーを見直し、ネットワーク環境全体で強固な認証方式を適用する必要があります。これには、ドメインコントローラ、サーバ、クライアントコンピュータなど、すべてのデバイスが含まれます。
また、最新のセキュリティパッチを適用し、システムを常に最新の状態に保つことも重要です。マイクロソフトは、NTLM認証の脆弱性に対処するためのセキュリティパッチを定期的にリリースしています。これらのパッチを適用することで、攻撃者が脆弱性を悪用することを防ぐことができます。
これらの対策を実施することで、組織はNTLM認証に関連するリスクを大幅に軽減することができます。安全な認証方式への移行は、組織のセキュリティ体制を強化するための重要なステップです。
対策 | 推奨事項 |
---|---|
NTLM認証の無効化 | Kerberos認証など、より安全な認証方式に移行する |
セキュリティポリシーの見直し | ネットワーク環境全体で強固な認証方式を適用する(ドメインコントローラ、サーバ、クライアントコンピュータなど、すべてのデバイスを含む) |
セキュリティパッチの適用 | 最新のセキュリティパッチを適用し、システムを常に最新の状態に保つ |