Last Updated on 2025-04-17 08:10 by admin
複数の攻撃グループが、Microsoftが2025年3月にパッチを公開したWindows NTLMの脆弱性「CVE-2025-24054」を積極的に悪用している。
この脆弱性はNTLM(NT LAN Manager)ハッシュ開示のなりすまし脆弱性であり、攻撃者はユーザーの認証情報を傍受して悪用することができる。
Check Point Researchの調査によると、パッチ公開からわずか8日後の2025年3月19日には最初の攻撃が観測された。攻撃はポーランドとルーマニアの政府機関および民間組織を標的としており、攻撃者はフィッシングメールを通じてDropboxからダウンロードできる悪意のあるZIPアーカイブへのリンクを送信した。
この脆弱性は、ユーザーが悪意のある.library-msファイルを含むZIPアーカイブを展開すると発動する。ユーザーは悪意のあるファイルを開いたり実行したりする必要はなく、右クリック、ドラッグアンドドロップ、または単にそのフォルダに移動するだけで脆弱性が引き起こされる。これによりWindows Explorerが攻撃者が制御するリモートSMB(Server Message Block)サーバーへの外向きNTLM認証要求を開始し、ユーザーのNTLMハッシュが漏洩する。
Check Point Researchは3月以降、約10件の異なる攻撃キャンペーンを確認している。これらの攻撃に関連するSMBサーバーはロシア、ブルガリア、オランダ、オーストラリア、トルコに散在していた。
漏洩したNTLMハッシュは、攻撃者によってブルートフォース攻撃でパスワードを解読されたり、「パス・ザ・ハッシュ」攻撃やリレー攻撃に使用されたりする可能性がある。これにより、ネットワーク内での横方向の移動、権限昇格、さらには完全なドメイン侵害につながる恐れがある。
NTLMはMicrosoftが2024年に積極的な開発を停止したレガシー認証プロトコルだが、Silverfortによると、Active Directoryユーザーアカウントの64%が依然としてNTLMで認証を行っているという。
セキュリティ専門家は、組織に対して直ちにパッチを適用し、SMB署名やNTLMリレー保護などの対策を実施するよう勧告している。
from:Multiple Groups Exploit NTLM Flaw in Microsoft Windows
【編集部解説】
Microsoftの認証プロトコルに関する脆弱性は、サイバーセキュリティの世界で繰り返し発生する課題となっています。今回のCVE-2025-24054は、レガシー認証プロトコルであるNTLM(NT LAN Manager)の根本的な設計上の問題を再び浮き彫りにしました。
この脆弱性の特筆すべき点は、ユーザーの操作がほとんど必要ないという点です。Check Point Researchの調査によれば、悪意のある.library-msファイルを含むZIPアーカイブを単に展開するだけでなく、そのフォルダに移動したり、ファイルを右クリックしたりするだけでも攻撃が発動する可能性があります。これはユーザーの警戒心をすり抜けやすく、従来の「不審なファイルは開かない」という基本的なセキュリティ対策だけでは防ぎきれない脅威です。
NTLMプロトコルは、Microsoftが2024年に積極的な開発を停止したにもかかわらず、多くの組織で依然として使用されています。Silverfortの調査によると、Active Directoryユーザーアカウントの64%が今でもNTLMで認証を行っているという現実があります。これは、レガシーシステムとの互換性維持や移行コストの問題から、多くの企業が最新のセキュリティプロトコルへの移行を躊躇している実態を示しています。
今回の攻撃では、ポーランドとルーマニアの政府機関および民間組織が標的となりましたが、これは地政学的な背景を持つ可能性があります。攻撃の背後にある脅威アクターの正確な属性は明らかにされていませんが、攻撃の手法や標的から判断すると、高度な技術を持つグループによる組織的な活動である可能性が高いでしょう。
NTLMハッシュが漏洩すると、攻撃者はそれを使って様々な攻撃を仕掛けることができます。ブルートフォース攻撃によるパスワード解読、パス・ザ・ハッシュ攻撃、リレー攻撃などが可能となり、特に権限の高いアカウントが侵害された場合、組織のネットワーク全体が危険にさらされる恐れがあります。
企業のIT管理者にとって重要なのは、Microsoftが3月にリリースしたパッチを直ちに適用することです。また、SMB署名の有効化やNTLMリレー保護の実装、信頼できないネットワークへの外向きSMB接続のブロックなど、多層防御の考え方に基づいた対策が必要です。
長期的には、NTLMからKerberosなどの現代的な認証プロトコルへの移行が不可欠です。Microsoftは既にNTLMの開発を停止していますが、多くの組織がレガシーシステムとの互換性のために使い続けている現状があります。この「技術的負債」の解消は容易ではありませんが、今回のような脆弱性が繰り返し発見される状況を考えると、移行計画の策定と実行は急務といえるでしょう。
今回の事例は、パッチ公開からわずか8日で悪用が始まったという点でも注目に値します。これは、脆弱性情報が公開されてから攻撃が始まるまでの「猶予期間」が急速に短くなっている傾向を示しています。組織のセキュリティチームには、より迅速なパッチ適用プロセスの確立が求められています。
最後に、この脆弱性はWindows環境に限定されていますが、異なるOSやプラットフォームを使用している組織であっても、ネットワーク内にWindowsマシンが存在する限り、リスクは残ります。特にBYOD(個人所有デバイスの業務利用)が普及している現代のハイブリッドワーク環境では、エンドポイントセキュリティの強化と継続的な脆弱性管理が不可欠です。
【用語解説】
NTLM(NT LAN Manager):
Windowsシステムで使用される認証プロトコル。パスワードのハッシュ値を使用して認証を行う仕組みだが、設計上の欠陥があり、様々な攻撃に対して脆弱である。銀行のキャッシュカードに例えると、暗証番号そのものではなく、暗証番号から生成された特殊な値(ハッシュ)を使って本人確認をする仕組みだが、このハッシュが漏洩すると悪用される可能性がある。
CVE(Common Vulnerabilities and Exposures):
公開された情報セキュリティの脆弱性や危険性に関する共通識別子。CVE-2025-24054のような形式で表記され、特定の脆弱性を一意に識別するための国際的な標準である。
SMB(Server Message Block):
Windowsネットワークでファイル共有やプリンタ共有などに使われるプロトコル。
パス・ザ・ハッシュ攻撃:
ユーザーのパスワードハッシュを盗み、そのハッシュを使って直接認証する攻撃手法。パスワード自体を知らなくても、そのハッシュさえあれば認証できてしまう。
NTLMリレー攻撃:
正規ユーザーの認証要求を傍受し、それを別のサーバーに転送(リレー)して不正アクセスを行う攻撃。郵便配達人に渡した手紙を第三者が途中で横取りし、別の宛先に転送するようなものである。
【参考リンク】
Microsoft Corporation(外部)
世界最大級のソフトウェアメーカーで、Windows OSやOfficeなどの製品を開発・提供
Check Point Software Technologies(外部)
サイバーセキュリティソリューションを提供するグローバル企業
Silverfort(外部)
統合アイデンティティ保護プラットフォームを提供する企業
【編集部後記】
みなさんの組織ではNTLMを使用したシステムはまだ稼働していますか?この脆弱性は最小限のユーザー操作で発動するため、従来の「怪しいファイルは開かない」という対策だけでは不十分かもしれません。セキュリティは「面倒だから後回し」にしがちですが、パッチ公開からわずか8日で攻撃が始まった今回の事例は、対応の迅速さがいかに重要かを示しています。ぜひこの機会に、自社のレガシーシステムの見直しや認証プロトコルの最新化について考えてみませんか?
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
