NTLM の廃止による影響と対応策

本記事では、NTLM とは何なのか、廃止による影響とその対応について整理します。

NTLM廃止に関する背景

NTLM とは

NTLM とは、 NT Lan Manager の略です。

NTLM は Windows が LAN 内でリソースを共有する際の認証方式として 1993年に Windows NT 3.1 で導入されました。

背景として、当時(その名のとおり)PC は "パーソナル コンピューター" として一般的にはスタンドアロンで利用されるケースが多く、 PC 間のデータのやりとりはフロッピーディスクが主な時代でした。*1

LAN でファイル共有するというのが当たり前ではない時代で、そのような時代に導入された仕組みがNTLMです。

その後 Windows 95 が発売されてインターネットが普及し、広く一般企業においても LAN の利活用が進むとともに、NTLMの利用も広がりました。

2000年に Windows 2000 が発売され Active Directory が業界の流れに沿って LDAP や Kerberos といったプロトコルを引っ提げて登場してからはNTLMの利用は減っていきましたが、それまでの間に Windows を支えた技術と言っていいでしょう。

また、パーソナルユースなどすべての環境で常に Active Directory やクラウドベースの認証を利用できる訳ではありませんので、そのような環境では現状も引き続き利用されている状況になるでしょう。

このNTLMを将来的に廃止する方針である、という旨のアナウンスがMicrosoftからあり、最近話題になりました。*2

  • Windows 11 で NTLM を廃止する方針の発表 (2023/10/11)

techcommunity.microsoft.com

  • Windows ですべてのバージョンの NTLM を非推奨とし、将来的に廃止することを発表 (2024/6/3)

learn.microsoft.com

NTLM の問題点

一般的に NTLM には下記の問題点があり、これらの理由から今回廃止の方針が発表された経緯になっています。

  • 互換性維持などの理由と、Active Directory 環境においてはよりセキュアで高機能な Kerberos へ後継していることから、NTLM 自体を根本的に現在の思想に合わせて改修することは現実的ではありません。
  • LAN 内部が安全であるという前提であった時代の古い仕組みであり、度々脆弱性の報告も上がっており攻撃に対して脆弱です。アクティブな開発が行われていない現状では危険性も大きくなるでしょう。

NTLM と Kerberos に関する技術的な詳細は Docs や以下の記事を参考にしてください。
techcommunity.microsoft.com

NTLM 廃止に伴う課題

いろいろと課題のある NTLM ですが、Windows に標準で組み込まれており、現実として多くの組織で(意識する・しないを問わず)利用されています。

廃止された場合、以下の課題が考えられます。

  1. Active Directory を利用していないワークグループ環境(ローカルアカウントによる認証)で NTLM を利用できず影響が発生します。
  2. Kerberos 認証を行うためにはドメインコントローラと直接通信できる必要があるため、ドメインコントローラへ直接接続できない環境では NTLM をフォールバックとして利用できず影響が発生します。
  3. NTLM 認証をハードコードされたアプリケーション、システムが存在する場合には、当然ながら NTLM を利用できず影響が発生します。*3

NTLM 廃止に関する今後の方向性

Kerberos 機能の更新

2023年10月11日の発表においては「Windows 認証の進化」と題されて記載がありますが、今後の Windows リリースにおいて上記1 および 2 の課題に対応するため以下の機能が追加される予定です。

機能に関する技術的な詳細は今後発表されていくものと思われます。

  1. Kerberos 用のローカル KDC(ローカルアカウント認証を Kerberos で行う機能)
  2. IAKerb(ドメインコントローラと直接通信できない場合に、直接通信できるサーバが認証をプロキシする機能)

上記3については該当するアプリケーション、システムの実装に依存するため各組織において検討および対応する必要があります。

影響の発生する可能性のあるシステムと対応方針

以上から、下表のような項目が存在する場合にインパクトが発生する可能性があることがわかりました。

項目 対応方針
Kerberos の機能更新を享受できない旧バージョンの Windows 機能更新が提供されるバージョンに更新する*4
Linux ベースの NAS などの互換システム Linux では将来的に機能更新と同様の互換機能が提供されるかもしれませんが、組み込みシステムでの製造元のアップデート提供は困難であることが多いでしょう。
NTLM 認証をハードコードされているようなアプリケーション、システム 各アプリケーションやシステム毎に改修やリプレースを検討する必要があるでしょう。複合機などでも NTLM が利用されている可能性があります。

注意したいのは、現時点で発表されたのは NTLM が廃止の方針であるということと、今後リリースされるバージョンの Windows にて代替機能がリリース予定であること、少なくとも次の Windows の年次リリースでは NTLM のサポートが維持されることです。

完全に廃止される時期は明記されていませんが、NTLM 認証がハードコードされているシステムについては Kerberos 認証を試み、利用できない場合に NTLM にフォールバックするよう改修することが推奨されています。

最後に

影響の懸念される範囲として、中小規模の組織や研究施設などが考えられます。特に、IT管理者やエンドユーザーの自由度が高い、または古い機器が利用し続けられている環境は注意が必要です。

システムが適正に管理されている大規模な組織では古い機器の棚卸やセキュリティ監査などで影響のある機器はある程度淘汰されていて、対応についても組織的・計画的に実施できる可能性が高いですが、中小規模の組織では管理者の把握できていないシステムや、エンドユーザーの裁量で設置した機器・運用によって大きなインパクトの発生する可能性があります。

管理者が把握できている場合はよいですが、把握できていなければ対処療法的に対応する以外にないでしょう。

大規模な組織であれば、特殊な要件で廃棄できていないようなシステムや NTLM に依存したシステムがないか、棚卸とリプレースや改修といった対応の検討が必要です。

*1:筆者も学生時代に情報処理の授業では PC-9801 でフロッピーディスクを使っていました

*2:日付は米国時間

*3:Microsoft Entra Domain Services 環境でも NTLM がサポートされていますので、利用がないか注意が必要です

*4:現時点で更新がどのような範囲で提供されるのかは明記ありませんので今後情報提供されることになるでしょう。

執筆担当者プロフィール
S.Tomishima

S.Tomishima(日本ビジネスシステムズ株式会社)

クラウドソリューションアーキテクト部に所属。AD DS や Windows 系を中心としたインフラを主に担当しており、Administrator Expert および Azure Solutions Architect Expert を所持。趣味はドライブやウィンドウショッピングなど。

担当記事一覧