セキュリティ

SECURITY

公開：2024-12-12

MicrosoftがWindows ServerとExchange ServerのNTLMリレー攻撃対策を強化、EPAのデフォルト有効化で保護機能を向上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MicrosoftがNTLMのセキュリティ対策を強化
• Windows ServerとExchange ServerでNTLMリレー攻撃の緩和を実施
• EPAをデフォルトで有効化し保護機能を強化

MicrosoftがNTLMリレー攻撃対策を強化

MicrosoftはセキュリティチームMicrosoft Security Response Centerを通じて、Windows ServerとExchange ServerにおけるNTLMリレー攻撃の緩和対策について2024年12月9日に公式ブログで発表した。NTLMは1993年のWindows NT 3.1で導入された認証方式だが、現在のセキュリティ水準では時代遅れとなっており、NTLMリレー攻撃のターゲットとなっている現状を踏まえた対応となっている。^[1]

Exchange Server 2019ではCU14のアップデートにより、Extended Protection for Authentication (EPA)がデフォルトで有効化され、Windows Server 2025ではActive Directory Certificate ServicesとLDAPでもEPAがデフォルトで有効になっている。この機能強化により、NTLMリレー攻撃からユーザーを保護する仕組みが大幅に強化されることになった。

MicrosoftはNTLMv1を削除しNTLMv2を非推奨とするなど、将来的なNTLM廃止に向けた取り組みを段階的に進めている。また管理者はSMBでNTLMをブロックする設定が可能となり、よりセキュアな環境構築のためのオプションが用意されている。

NTLMリレー攻撃対策の詳細

NTLMリレー攻撃について

NTLMリレー攻撃とは、攻撃者が正規ユーザーの認証情報を横取りして別のシステムに転送する攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• ユーザーを偽装して不正なアクセスを行う
• 認証情報の転送により権限昇格が可能
• ドメイン環境での横展開に悪用される

MicrosoftはCVE-2023-23397やCVE-2021-36942など、NTLMリレー攻撃に関連する脆弱性を継続的に確認している。EPAの有効化はこれらの攻撃を防ぐための重要な対策となっており、特にExchange ServerやActive Directory環境での攻撃防止に効果を発揮する。

NTLMセキュリティ強化に関する考察

MicrosoftによるNTLMセキュリティ強化は、長年の課題であったレガシー認証の脆弱性に対する包括的な解決策として評価できる。EPAのデフォルト有効化により、管理者の負担を軽減しながら基本的なセキュリティ対策を実装できるようになったことは、セキュリティ向上の観点から大きな前進となっている。

今後の課題として、既存システムとの互換性維持とセキュリティ強化のバランスが重要となってくる。特にレガシーシステムを使用している組織にとって、NTLMからの移行には慎重な計画と段階的な実装が必要となるだろう。移行期間中のセキュリティリスク管理も重要な検討事項となる。

将来的には、Kerberosなどのモダンな認証プロトコルへの完全移行が望ましい。しかし、その過程では組織の規模や技術的な制約に応じた柔軟な対応が求められる。Microsoftにはより詳細な移行ガイドラインの提供と、継続的なセキュリティアップデートの実施が期待される。

参考サイト

1. ^ Microsoft. 「Mitigating NTLM Relay Attacks by Default | MSRC Blog | Microsoft Security Response Center」. https://msrc.microsoft.com/blog/2024/12/mitigating-ntlm-relay-attacks-by-default/, (参照 24-12-12).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧