テクノロジーを簡単に言うと

Windowsデバイスは、デフォルトで有効になっている古いサインイン方法であるNTLMを使用しています。マルウェア攻撃が発生した場合、ハッカーにシステムパスワードが漏れてしまう可能性があります。彼らは、Windowsのログイン詳細を盗むためにさまざまな中間者攻撃を使用することができます。幸いなことに、NTLM設定にいくつかの簡単な調整を加えることで、Windows NTLM資格情報をゼロデイ脅威から保護できます。

Windows NTLMの脅威がパスワードを盗む方法

NTLM(NT LAN Manager)は、現在も多くのWindowsデバイスで使用されている古い認証方法です。これは、パスワードをコード(ハッシュ)に変換してネットワーク上でパスワードを送信することなく、あなたを確認する方法です。しかし、これでは安全ではなく、あなたのPCが侵害された場合、ログインパスワードが攻撃者に見えてしまいます。

2025年4月に、セキュリティ研究者のCheck Pointが「CVE-2025-24054」という脆弱性を通じたNTLMハッシュの漏洩についてブログ記事を公開しました。彼らによれば、これはポーランドとルーマニアの政府および企業ユーザーをターゲットにした進行中のサイバー攻撃です。攻撃者は、パス・ザ・ハッシュ(PtH)、レインボーテーブル、および中継攻撃を含むさまざまなタイプの中間者攻撃を利用しています。彼らの主なターゲットは特権ユーザーや管理者です。

NTLM攻撃は企業や政府を狙うことが多いですが、家庭ユーザーも脆弱です。悪意のあるファイルに接触するだけで、あなたのシステムパスワードが漏洩することがあります。

マイクロソフトはCVE-2025-24054のためのセキュリティパッチをリリースしました。そのため、これらの攻撃を防ぐために、常にWindowsシステムを最新に保つことが重要です。これに加えて、他にできることがいくつかあります。

1. PowerShellを使用してNTLM認証を無効にする

管理者モードでPowerShellを開き、以下を入力します。ターゲットSMBクライアントの設定を変更するかどうかの別の質問が表示されますので、「A」をクリックしてください。

Set-SMBClientConfiguration -BlockNTLM $true

PowerShellでのターゲットSMBクライアント設定の変更。

SMB経由でのNTLMのブロックは最新のWindowsデバイスに影響を与えません。しかし、古いプリンタやNASサーバー、他のレガシーデバイスで問題が発生した場合、NTLMをSMBで許可するように戻せます。

Set-SMBClientConfiguration -BlockNTLM $false

サーバーメッセージブロック(SMB)は、ファイル共有やネットワーク接続に使用されます。これは、PtH、中継攻撃、他の中間者攻撃で最も一般的に使用される接続の一つです。SMB経由でNTLMをブロックすることで、攻撃者にとっての主要なゲートウェイを削除することになります。

2. レジストリエディタで古いNTLMプロトコルを無効にする

多くのWindowsセッションは、現在「Kerberos」でホストされており、チケットベースの暗号化された認証を使用する非常に安全なプロトコルです。しかし、NTLMには多くの用途があるため、完全に無効にする必要はありません。代わりに、NTLMv1の代わりに、より安全なNTLMv2プロトコルに切り替えます。

これはレジストリエディタから行えます。まず、レジストリのバックアップを取り、その後、管理者モードでレジストリエディタを開き、以下に移動します。

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa(ローカルセキュリティ機関)レジストリキーと「LmCompatibleLevel」DWORD。

「ローカルセキュリティ機関」(Lsa)のレジストリキーの下で、ネットワークセキュリティLANマネージャ認証レベル値である「LmCompatibilityLevel」へ移動します。もし存在しない場合は、上記のようにLsaの下にD-WORD(32ビット)を作成します。

「LmCompatibilityLevel」をダブルクリックして開きます。デフォルト値は「0」と表示されています。それを「3」、「4」、「5」に設定すると、あなたのWindowsデバイスはNTLMv2応答のみを送信し、すべてのレガシーNTLMv1応答をブロックします。

LmCompatibilityLevelを値3に設定し、すべてのNTLMv1をブロック。

上記の変更を行った後、以下のパスに移動します。

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

ここで「RequireSecuritySignature」または「EnableSecuritySignature」というD-WORD値が見つかります。そのデフォルト値は「1」であるべきです。もしそうでなければ、「1」に変更します。これを行うと、すべての将来のSMB接続にSMBセキュリティ署名が必要になります。これにより、あなたのデバイスの資格情報が盗まれるのを防ぎます。

3. Windowsセキュリティでクラウド保護を有効にする

上記のレジストリの変更は無害です。しかし、それを行いたくない場合は、新しいWindowsセキュリティ機能を通じてデバイスを保護できます。この機能は、フィッシング攻撃などのオンラインで発生するすべての脅威を防ぎます。これは、ウイルスと脅威の保護 -> 設定を管理 -> クラウド提供の保護からアクセスできます。

Windowsセキュリティでのクラウド提供保護を有効にする。

関連: エンドポイント保護スイートへのアクセス、例えばMicrosoft Defenderの使用は、ゼロ時間の脅威に対する追加の保護を提供します。

4. その他のセキュリティ対策

マイクロソフトは、NTLM資格情報の盗難に遭わないために以下の追加のセキュリティメカニズムを推奨しています。

  • 多要素認証を有効にする: 多要素認証メカニズムを通じて、パスワードやPINベースのログインセキュリティを強化できます。設定 -> アカウント -> サインインオプションに移動します。ここでは、Windows HelloやUSBデバイスを使用した物理的なセキュリティキーの作成など、多くのオプションがあります。
  • 疑わしいリンクをクリックしない: NTLMマルウェアは一般的に悪意のあるリンクを通じて広がります。Windowsセキュリティによってブロックされるかもしれませんが、これらのリモート脅威に対してどうしてリスクを取りますか?悪意のあるメッセージを検出し回避する方法についての詳細なガイドを確認してください。

内容

  1. Windows NTLMの脅威がパスワードを盗む方法
  2. 1. PowerShellを使用してNTLM認証を無効にする
  3. 2. レジストリエディタで古いNTLMプロトコルを無効にする
  4. 3. Windowsセキュリティでクラウド保護を有効にする
  5. 4. その他のセキュリティ対策
Ello-dashboardprofile

Ello: プライベートソーシャルネットワークの探求

Bitdefenderがインストールされない:使用できる3つの簡単な解決策

Bitdefenderの修正についてもっと知る

GoogleがInboxを終了し、6ヶ月の猶予を与える

アスペクト比-16x9

ビデオのアスペクト比を理解する

タグでファイルを整理するファイルマネージャー:トップ5

Wake on LANが動作しない修正

Wake On LANがWindowsで動作しない [解決済み]

easycap-mac-mspacman-console

EasyCAPを使用してMacでVHSとコンソールをキャプチャする

GoogleはWindows 11アップグレードの適格性を判断する新しいChrome機能をテスト中