自己防衛：Windows ファイルエクスプローラープレビューにおける NTLM ハッシュ漏洩の脆弱性

最近の開発により、Windows ファイルエクスプローラーのプレビューウィンドウに関連する脆弱性が明らかになりました。この脆弱性により、NTLM パスワードハッシュが漏洩する可能性があります。このような脆弱性を悪用することで、攻撃者はこれらの認証情報をオフラインで再利用または解読することが可能になります。このリスクへの対応として、Microsoft は最新の Windows アップデートでダウンロードコンテンツのファイルプレビューを無効にしました。このガイドでは、ファイルエクスプローラーのプレビューを介した潜在的な NTLM ハッシュ漏洩を防ぐための重要な戦略について説明します。

ファイルエクスプローラープレビューの脆弱性を理解する

NT LAN Manager（NTLM）は、MicrosoftがWindowsの様々なアカウントやサービス向けに設計した認証プロトコルです。セキュリティ上の欠陥により、Kerberosに大きく置き換えられましたが、後方互換性のために現在も使用されています。しかしながら、NTLMの存在は、悪用される可能性のある状況を生み出しています。

攻撃者はファイルエクスプローラーのプレビュー機能を利用してNTLMリクエストを実行し、ローカルパスワードまたはドメインパスワードをハッシュ形式で漏洩させる可能性があります。プレビュー中にファイルにNTLMリクエストの指示が含まれている場合、Windowsはこれらのリクエストを誤って処理し、ハッシュ化されたパスワードを悪意のあるサーバーに送信する可能性があります。サイバー犯罪者は、これらのハッシュをオフラインで解読するか、Pass-the-Hash攻撃を仕掛けることができます。

Microsoftは、これらの攻撃に関連する継続的な脅威を認識しています。そのため、最新のアップデートでは、Mark of the Web（MoTW）で識別されるファイル（通常はインターネットからダウンロードされたファイル）のプレビューが表示されなくなりました。

NTLMハッシュ漏洩からシステムを保護する

NTLMハッシュ漏洩、特にインターネットからダウンロードしたファイルによるリスクを最小限に抑えるには、ユーザーは特定の安全対策を講じる必要があります。Microsoft Defenderは、ファイルスキャンだけではNTLM要求の試行を完全に検出できないためです。以下に、防御を強化するための具体的な手順を示します。

Windowsを最新の状態に保つ：オペレーティングシステムが最新であることを確認してください。10月14日のセキュリティアップデートにより、MoTWファイルのファイルプレビューが無効になりました。Windows 11では、「設定」 → 「Windows Update」に移動し、利用可能な更新プログラムを確認してインストールしてください。
オンライン行動分析を実施する：標準的なウイルス対策スキャンでは、有害なNTLMリクエストを検出できない場合があります。ファイルが悪意のあるものである疑いがある場合は、行動分析ツールを使用して、安全な環境（サンドボックス）でファイルを開き、その動作を監視してください。Joe SandboxやMetaDefenderなどのツールは優れた選択肢です。
NTLM認証情報の保護： NTLM認証情報を保護するため、積極的な対策を講じることで、侵入される可能性を大幅に低減できます。Windows NTLM認証情報の保護に関する詳細な方法については、このガイドをご覧ください。
仮想マシンでファイルの動作をテスト：仮想環境を作成し、メインシステムに影響を与えることなく、疑わしいファイルの動作を評価できます。プレビュー期間中は、Hyper-Vまたはサードパーティ製の仮想マシンアプリケーションを使用して、ネットワークアクティビティを観察できます。
システム全体でファイルエクスプローラーのプレビューを無効にする：ファイルプレビューを介したNTLMハッシュ漏洩を完全に防ぐには、プレビューハンドラーを完全に無効にすることを検討してください。ファイルエクスプローラーを開き、「詳細表示」メニューから「オプション」を選択し、 「表示」タブに移動して、 「プレビューウィンドウにプレビューハンドラーを表示する」というオプションのチェックを外します。