ADセキュリティ強化シリーズ

まだNTLMv1を使っていませんか？Active Directoryのセキュリティ強化・第一歩 この記事の内容 NTLMv1は暗号強度が低く、中間者攻撃やリプレイ攻撃に脆弱な古い認証プロトコルである Active Directoryは登場から25年以上経つ今も攻撃者の主要ターゲットであり、放置は非常に危険 LM互換性レベル（LM Compatibility Level）の設定でNTLMv1の使用を制御できる 無効化前にイベントID 4624を使った監査でNTLMv1の利用状況を把握することが重要 段階的に対策を進めることで、アカウントロックアウトなどのトラブルを防げる なぜ今さらActive Directoryのセキュリティ強化なのか クラウドサービスが主流になった現在でも、Active Directory（AD）のセキュリティ強化は非常に重要なテーマです。その理由は明確で、攻撃者は今もActive Directoryを狙って管理者アカウントの奪取を試みています。クラウド側よりも、長年アップデートされてこなかったオンプレミスのADの方が脆弱なケースが多いためです。 Active Directoryは登場から25年以上が経過しており、現在も多くの企業で稼働し続けています。しかし、構築当時の担当者がすでに組織を離れていたり、誰が管理しているのかも曖昧になっていたりと、「動いているから放置」という環境が少なくありません。 ADが一度侵害されると被害の全容把握は極めて困難になります。どこまでやられたのか、どのバックアップデータまでなら安全なのかが判断できなくなり、最悪の場合は全システムの再構築という事態にもなりかねません。やられる前に対策を講じることが、何よりも重要です。 NTLMv1とは何か NTLMv1（NT LAN Manager version 1）は、Windowsが使用する認証プロトコルの一つです。ユーザーがファイルサーバーにアクセスするときなど、「あなたは誰ですか」を確認するために裏側で使われる仕組みです。 現在、Active Directory環境で使われる主な認証プロトコルには以下のものがあります。 プロトコル 概要 NTLMv1 最も古く、暗号強度が低い。使用禁止推奨 NTLMv2 NTLMv1より改善されているが、将来的に廃止予定 Kerberos 最新かつ推奨される認証プロトコル クライアントとサーバーが通信を行う際、双方が対応しているプロトコルの中から最も新しいものが自動的に選択されます。そのため、NTLMv1をサポートするリストから削除してしまっても、NTLMv2やKerberosで代替されるため通常は問題ありません。 なお、ここでいう「クライアント」「サーバー」はOSの種類ではなく、通信を開始する側・ホストする側という役割を指しています。 NTLMv1の何が危険なのか NTLMv1が危険とされる主な理由は以下の2点です。 中間者攻撃（Man-in-the-Middle Attack）への脆弱性 通信の間に第三者が介入し、やり取りを中継することで認証を突破できてしまいます。モダンな認証プロトコルはこの攻撃への対策が施されていますが、NTLMv1には対策がありません。 リプレイ攻撃（Replay Attack）への脆弱性 一度キャプチャした認証通信を再送信することで、正規ユーザーになりすませてしまいます。 これらは古典的な攻撃手法ですが、対策が施されていないNTLMv1に対しては今も有効です。 なぜ最新OSでもNTLMv1が使われてしまうのか 「Windows 10や11しかないのだからNTLMv1は使っていないはず」と思われる方もいるかもしれません。しかし、過去の管理者が何らかの理由（古いOSとの互換性確保など）でNTLMv1を強制使用するよう設定したレジストリ値が、そのまま残ってしまっているケースがあります。 OSのデフォルト値の変遷は以下のとおりです。 OSバージョン LM互換性レベルのデフォルト値 Windows 2000 / XP 1（NTLMv1を使用） Windows Server 2003 2 Windows Vista / Server 2008以降 3（NTLMv2を使用） Vista以降のOSのみの環境であれば、何もしていなければ基本的にNTLMv2以上が使われます。ただし、古い設定が意図せず残っていたり、NASなどのサードパーティ機器がNTLMv1しか対応していなかったりするケースには注意が必要です。 LM互換性レベルの設定について NTLMv1の使用を制御する設定が「LM互換性レベル（LM Compatibility Level）」です。 ...