NTLMv1 および LM ネットワーク認証に関するセキュリティ ガイド

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
マイクロソフトは、攻撃者が NT LAN Manager Version 1 (NTLMv1) および LAN Manager (LM) ネットワーク認証に対して使用する可能性があるツールおよびその詳細を認識しています。コンピューターのソフトウェアとハードウェアのアルゴリズムの進歩に伴い、これらのプロトコルには、ユーザー資格情報を入手するさまざまな攻撃に対する脆弱性が存在します。特に NTLMv2 認証を強制しない環境を対象として使用可能なツールセットについて説明します。これらの環境を評価し、ネットワーク認証の設定を更新することを強くお勧めします。サポートされているすべての Microsoft オペレーティング システムは NTLMv2 認証機能を提供します。

Microsoft Windows NT 4、Windows 2000、Windows XP、および Windows Server 2003 などを搭載しているシステムなど、既定の構成で影響を受けるシステムが主に危険にさらされます。たとえば、既定では、Windows XP と Windows Server 2003 の両方が NTLMv1 認証をサポートします。

Windows NT の場合、ネットワーク ログオンに使用されるチャレンジ/レスポンス認証のために 2 つのオプションがサポートされます。LAN Manager (LM) チャレンジ/レスポンスと Windows NT チャレンジ/レスポンス (NTLM バージョン 1 チャレンジ/レスポンスとも呼ばれます) です。これらの両方で、Windows NT 4.0、Windows 95、Windows 98、および Windows 98 Second Edition のインストール ベースとの相互運用が可能です。


このページでこの問題を解決するには、「Fix it で解決する」セクションに進んでください。
解決方法
この問題をリスクを軽減するために、NTLMv2 のみの使用を許可するように Windows NT 4、Windows 2000、Windows XP、および Windows Server 2003 を搭載する環境を構成することをお勧めします。これを行うには、ここに記載されている説明に従って LAN Manager 認証レベルを手動で 3 以上に設定します。

Windows XP および Windows Server 2003 の場合、Microsoft Fix it ソリューションを使用して、NTLMv2 のみの使用を許可するように自動的にシステムを構成することができます。この方法ではさらに、ユーザー用の NTLM 設定で、認証の拡張保護を利用できます。
Fix it で解決する
このセクションに記載されている Fix it ソリューションは、セキュリティ更新プログラムに代わるものではありません。常に、最新のセキュリティ更新プログラムをインストールすることをお勧めします。この Fix it ソリューションは、あくまでも特定の状況下における回避策オプションとして提供するものです。

Windows XP 用 Microsoft Fix it

この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。
有効化
注意事項
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。
Windows Server 2003 用 Microsoft Fix it

この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。
有効化
注意事項
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。
状況
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
詳細

FAQ

Windows ネットワーク セキュリティおよび LAN Manager 認証レベルの脅威と対策に関する詳細情報はありますか。

脅威と対策の詳細については、マイクロソフト TechNet の「脅威と対策: セキュリティ オプション」を参照してください。 NTLM 認証の構成の詳細については、LmCompatibilityLevel を参照してください。

問題の原因は何ですか。

2000 年 1 月まで、輸出制限により、暗号化プロトコルの最大キー長が制限されていました。LM および NTLM 認証プロトコルはどちらも 2000 年 1 月より前に開発されたため、これらの制限の対象になっていました。Windows XP は、リリースされたときに、Windows 2000 以前向けに設計された認証環境との下位互換性を維持するように構成されました。

自分の構成に脆弱性があるかどうかを確認する方法を教えてください。

LMCompatibilityLevel レジストリ設定が 3 未満に設定されている場合、この問題の影響を受けます。

既定の構成で影響を受ける Windows オペレーティング システムはどれですか。

Windows NT4、Windows 2000、Windows XP、および Windows Server 2003 はすべて LMCompatibilityLevel の既定の構成値が 3 未満になっています。

NTLMv2 を強制することの潜在的なリスクは何ですか。

サポートされているすべてのバージョンの Windows オペレーティング システムは NTLMv2 をサポートします。Windows NT 4.0 SP6a も NTLMv2 をサポートします。そのため、非常に小さな互換性に関するリスクがあります。場合によっては、導入されているサードパーティの従来の実装または構成を相互運用の問題に関して評価する必要があります。再構成またはアップグレードによってこの問題を解決できる場合があります。改善手順に従って、自社のネットワークを構成およびアップグレードし、NTLMv1 を識別してフェーズアウトすることをお勧めします。NTLMv1 プロトコルの使用は、ネットワーク セキュリティに確実に悪影響を与え、セキュリティを侵害する可能性があります。

攻撃者は脆弱性を利用して何を行いますか。

攻撃者は、取得した LM および NTLM ネットワーク認証レスポンスから認証ハッシュを抽出する可能性があります。

サポートされなくなった Microsoft Windows のバージョン上で NTLMv2 を有効にする方法に関する情報はどこにありますか。

Windows NT、Windows 95、Windows 98、および Windows 98 Second Edition の NTLMv2 の詳細については、サポート技術情報 239869 を参照してください。
謝辞
マイクロソフトは、お客様を保護するための共同作業に関して、次の方に謝意を表します。
  • NTLMv1 (NT LAN Manager Version 1) および LAN Manager (LM) に対する攻撃からお客様を保護するための作業についてマイクロソフトに協力してくださった T-Mobile USA のMark Gamache
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。