ゼロデイセキュリティ脅威から Windows NTLM 認証情報を保護する

ゼロデイセキュリティ脅威から Windows NTLM 認証情報を保護する

従来のNTLM(NT LAN Manager)認証プロトコルは、Windowsデバイスで依然として広く利用されていますが、重大なサイバーセキュリティリスクをもたらします。デフォルトで有効になっているNTLMは脆弱性となり、マルウェア攻撃の際にシステムパスワードが漏洩する可能性があります。攻撃者は、高度な中間者(MitM)攻撃手法を用いてこれらの脆弱性を悪用することが多いため、ユーザーはNTLM認証情報のセキュリティを確保するために積極的な対策を講じることが不可欠です。

NTLMの脅威を理解する

NTLMはパスワードをハッシュ形式に変換することで動作し、ネットワーク経由で実際のパスワードを送信することなく検証を可能にします。しかし、この方法は攻撃を受けやすく、マルウェアがシステムに侵入した場合、パスワードが簡単に侵害される可能性があります。

Check Pointのセキュリティ研究者は、最近の脆弱性に焦点を当て、ポーランドとルーマニアの政府機関および企業部門を中心に機密データを狙ったサイバー脅威が継続的に発生している「CVE-2025-24054」の脆弱性について詳細を報告しました。攻撃者は、パス・ザ・ハッシュ(PtH)、レインボーテーブル攻撃、リレー攻撃など、様々な手法を用いて、主に高レベルの管理者アカウントを狙っています。

これらの攻撃は組織を標的とすることが多いですが、個人ユーザーも例外ではありません。悪意のあるファイルへの単純な操作でさえ、パスワードが漏洩する可能性があります。そのため、Windowsシステムを定期的に更新することが重要です。Microsoftは、この種の攻撃を阻止するためのセキュリティ更新プログラムをリリースしました。

1. PowerShellを使用してNTLM認証を無効にする

NTLM関連のリスクに対する防御を強化するには、まずPowerShellを使用してNTLM認証を無効化します。以下の手順に従ってください。

  1. PowerShell を管理者モードで起動します。
  2. SMB (サーバー メッセージ ブロック) 経由の NTLM の使用をブロックするには、次のコマンドを実行します。

Set-SMBClientConfiguration -BlockNTLM $true

NTLM 攻撃から保護するために、PowerShell でターゲットの SMB クライアント構成を変更します。

変更を確定するには、A(はい)を押してください。NTLM over SMBをブロックすることで、PtH攻撃やリレー攻撃に対する脆弱性が大幅に軽減されますが、NTLMに依存する古いデバイスに影響が出る可能性があります。

互換性の問題が発生した場合は、次の方法で設定を元に戻します。

Set-SMBClientConfiguration -BlockNTLM $false

2.レジストリエディターでNTLMv2に切り替える

セキュリティ強化のためには、古いNTLMからより安全なNTLMv2への移行が不可欠です。まずはレジストリをバックアップし、管理者としてレジストリエディターを開いてください。以下のパスに移動します。

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa(ローカルセキュリティ機関)レジストリキーと

LmCompatibilityLevel DWORD値を見つけるか作成します。この値を「3」、「4」、または「5」に設定すると、NTLMv2応答のみが送信され、NTLMv1が効果的にブロックされます。

次に、次のレジストリ パスを調整します。

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

RequireSecuritySignature DWORD が「1」に設定されていることを確認してください。この設定により、SMB 接続にセキュリティ署名が必須となり、資格情報の盗難に対する保護がさらに強化されます。

3. Windowsセキュリティでクラウド保護を有効にする

レジストリを変更したくない場合は、Windowsに組み込まれているセキュリティ機能を活用することで、オンラインの脅威から強力な保護を実現できます。この機能にアクセスするには、「ウイルスと脅威の防止」 > 「設定の管理」 > 「クラウド配信の保護」に移動してください。

Windows セキュリティでクラウド配信保護を有効にします。

4.追加のセキュリティ対策の検討

前述の手順に加えて、NTLM 資格情報の盗難に対する防御を強化するために、Microsoft による次の推奨事項も検討してください。

  • 疑わしいリンクを避ける: NTLM関連の脅威の多くは、クリックベイトや悪意のあるリンクを通じて拡散します。Windowsセキュリティによってこれらの脅威が警告された場合でも、感染リスクを軽減するために注意が必要です。
  • システムを定期的に更新する:新しく発見された脆弱性から保護するために、Windows の更新プログラムを継続的に確認して適用します。
  • 多要素認証 (MFA) を活用する: MFA を実装すると、追加の保護層が提供され、不正アクセスが大幅に困難になります。
  • 自分自身と他の人を教育する:ソーシャル エンジニアリングの戦術とフィッシング詐欺に注意することで、偶発的な漏洩を防ぐことができます。

これらの重要な手順を実行すると、Windows NTLM 資格情報が侵害される可能性が大幅に低減され、システム全体のセキュリティが強化されます。

関連記事:

AIチャットボットの推論モードを活用する最適なシナリオ
Copilot を使用してドキュメントから PowerPoint スライドを作成する方法: ハウツーガイド

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です