Microsoftが、Windows環境におけるNTLM(New Technology LAN Manager)認証プロトコルの段階的廃止計画を正式に発表しました。この計画は3つのフェーズで構成され、より安全なKerberosベースの認証への移行を目指すものです。NTLMはリプレイ攻撃や中間者攻撃に対して脆弱であることが長年指摘されており、今回の発表は2023年の廃止予告、2024年6月の正式非推奨化に続く具体的なロードマップとなります。
この記事のポイント
- MicrosoftがNTLM廃止に向けた3段階の移行計画を発表
- フェーズ1では監査機能の強化、フェーズ2ではIAKerbやローカルKDCの導入、フェーズ3でNTLMがデフォルト無効化
- 次期Windows ServerおよびクライアントバージョンでNTLMがデフォルト無効に
- 企業はレガシーシステムの依存関係を把握し、Kerberos移行の準備を進める必要あり
NTLMとは何か、なぜ廃止されるのか
NTLM(New Technology LAN Manager)は、Windowsネットワークにおける認証プロトコルとして1990年代から使用されてきました。ユーザー名とパスワードのハッシュを使用してユーザーを認証する仕組みですが、現代のセキュリティ基準からすると多くの脆弱性を抱えています。
Microsoftは公式に「NTLMは弱い暗号技術を使用しているため、リプレイ攻撃や中間者攻撃など様々な攻撃に対して脆弱である」と述べています。特に問題となるのがNTLMリレー攻撃で、攻撃者が認証情報を傍受し、別のサービスに対してその資格情報を再利用することが可能です。また、パスワードハッシュの窃取によるPass-the-Hash攻撃も深刻な脅威となっています。
これに対してKerberosは、チケットベースの認証システムを採用しており、相互認証やタイムスタンプによる再利用防止など、より堅牢なセキュリティ機能を備えています。Microsoftは長年Kerberosを推奨してきましたが、多くの企業でレガシーシステムとの互換性のためNTLMが使い続けられてきたのが実情です。
3フェーズ移行計画の詳細
フェーズ1:可視性とコントロールの強化(現在利用可能)
第1フェーズでは、強化されたNTLM監査機能が提供されます。これにより、組織はインフラストラクチャ内でレガシー認証がどこで、なぜ使用されているかを詳細に把握できるようになります。この可視化は移行計画を立てる上で極めて重要であり、どのアプリケーションやサービスがNTLMに依存しているかを特定することで、優先順位を付けた移行が可能になります。
管理者は新しい監査ログを活用して、NTLM認証が発生しているすべてのイベントを追跡できます。これにより、移行作業の範囲を正確に見積もり、影響を受けるシステムの改修計画を策定することができます。
フェーズ2:移行障壁への対処(2026年下半期予定)
第2フェーズでは、NTLM移行を妨げる一般的な障害を取り除くための新機能が導入されます。主な機能として以下が挙げられます:
- IAKerb(Initial and Pass-Through Authentication Using Kerberos):ドメインコントローラーへの直接接続がない環境でもKerberos認証を可能にする機能
- ローカルKDC(Key Distribution Center):ローカル環境でKerberosチケットを発行できるようにすることで、ネットワーク制約のある環境での認証を改善
さらに、Windows OSのコアコンポーネントがKerberos認証を優先するよう更新されます。これにより、アプリケーション側で明示的な設定変更を行わなくても、システム全体でKerberosが優先的に使用されるようになります。
フェーズ3:デフォルト無効化(次期Windowsバージョン)
最終フェーズでは、次期Windows ServerおよびクライアントバージョンにおいてNTLMがデフォルトで無効化されます。NTLMを再有効化するには、新しいポリシーコントロールを使用して明示的に設定する必要があります。これは、レガシーシステムとの互換性を維持しつつも、セキュリティをデフォルトで強化するというMicrosoftの方針を反映しています。
企業が今すぐ取るべきアクション
移行を成功させるためには、今から準備を始めることが重要です。Microsoftが推奨する主なアクションは以下の通りです:
- NTLM使用状況の監査:フェーズ1で提供される監査機能を活用し、組織内のNTLM依存度を把握
- 依存関係のマッピング:どのアプリケーション、サービス、デバイスがNTLMに依存しているかを文書化
- 非本番環境でのテスト:Kerberos構成を本番環境に適用する前に、テスト環境で徹底的に検証
- ベンダーとの連携:サードパーティアプリケーションのKerberos対応状況をベンダーに確認
- 移行計画の策定:優先順位を付けた段階的な移行スケジュールを作成
知っておくと便利なTips
- グループポリシーの「ネットワークセキュリティ: LAN Manager認証レベル」設定を確認し、現在のNTLM使用レベルを把握することが第一歩
- Windowsイベントログ(セキュリティログ、イベントID 4624など)でNTLM認証イベントを追跡可能
- Kerberos認証の問題をトラブルシューティングする際は、klistコマンドでチケットキャッシュを確認すると有用
- Active Directory環境では、Protected Usersセキュリティグループを活用することでNTLM使用をさらに制限できる
まとめ
今回のMicrosoftによるNTLM廃止計画は、Windowsセキュリティにおける重要なマイルストーンとなります。3フェーズのアプローチは、企業のセキュリティ強化と運用の現実とのバランスを考慮したものであり、段階的な移行を可能にしています。しかし、多くの企業ではレガシーシステムやネットワーク制約によりNTLMへの依存が続いているのが現状です。今回の発表を機に、自組織のNTLM使用状況を把握し、Kerberos移行に向けた計画を策定することが求められます。特にセキュリティ担当者やシステム管理者は、フェーズ1の監査機能を活用して現状把握を進め、フェーズ3の到来に備えることが重要です。
📎 元記事: https://thehackernews.com/2026/02/microsoft-begins-ntlm-phase-out-with.html
コメント