NTLMリレーの概念を理解することは、サイバーセキュリティ分野に深く関わるすべての人にとって不可欠です。NTLMリレーは、世界中の多くのシステムで広く使用されているネットワークセキュリティプロトコルに存在する脆弱性のいくつかを浮き彫りにします。NTLMはNT Lan Managerの略で、Microsoftが自社のソフトウェアシステムの認証用に開発した一連のセキュリティプロトコルを指します。一方、NTLMリレーは、偽の認証情報を作成し、あるシステムから別のシステムへ情報を送信する攻撃の一種です。
NTLMリレーは、攻撃者が一方(クライアント)を自分がもう一方(サーバー)であると信じ込ませ、二者間の会話に割り込むところから始まります。攻撃者はクライアントを誘導し、サーバーと通信していると信じ込ませます。クライアントが認証情報(ユーザー名とハッシュ化されたパスワード)を送信すると、攻撃者はこれらの情報を傍受し、サーバーへの認証に使用します。サーバーは攻撃者を元のクライアントであると信じ込み、攻撃者を承認します。
NTLM リレーはどのように機能しますか?
NTLMリレーのプロセスには、インターセプション、転送、セッション作成という3つのステップが含まれます。まず、攻撃者はクライアント(アクセスを要求するマシン)とサーバー(アクセスを許可するマシン)間の通信に介入する必要があります。このインターセプションフェーズは、MITM(中間者)攻撃とも呼ばれます。
その後、転送段階では、攻撃者はクライアントになりすまして傍受した認証情報をサーバーに中継します。最後に、セッション作成段階では、中継した認証情報を使用してサーバーとのセッションを確立します。この時点から、攻撃者は認証情報を傍受・中継されたクライアントと同じアクセス権限を持つことになります。
NTLMの脆弱性
NTLMリレーは、NTLMプロトコルに内在する脆弱性を悪用します。NTLMは認証に3段階のハンドシェイクプロセスを採用しています。このプロセスは表面的には安全に見えますが、リレー攻撃に対して脆弱であるため、脆弱性が生じます。このハンドシェイクプロセスには、サーバーとクライアントが互いを検証できる相互認証機能が欠けています。この機能がないため、攻撃者は正当なサーバーをクライアントに、あるいはその逆の方法で簡単に偽装できます。
NTLM リレーを軽減するにはどうすればよいでしょうか?
NTLMリレー攻撃からシステムを保護するために、いくつかの防御戦略を採用できます。重要な戦略の一つは、SMB(サーバーメッセージブロック)署名の使用です。SMB署名は、クライアントとサーバー間のデータパケット転送の整合性を保証します。パケットには送信者による署名が必要です。そのため、攻撃者は必要な署名を偽造できないため、攻撃者によるパケットリレーが成功する可能性が低くなります。
もう一つの有効な戦略は、LDAP(Lightweight Directory Access Protocol)署名とLDAPS(LDAP over SSL)の適用です。この戦略は、ドメインコントローラとLDAPサーバー間の転送データのセキュリティを強化することで、NTLMリレー攻撃の成功率を低減します。
Windows の最新バージョンには、EPA(認証の拡張保護)や MIC(メッセージ整合性コード)といった機能が追加されており、NTLM リレー攻撃に対する保護を強化しています。EPA は、チャネル バインディング トークンが NTLM 認証要求に含まれることを保証します。一方、MIC は認証プロセスの整合性を保証します。
結論
結論として、NTLMリレーは、NT LAN Managerプロトコルに内在する脆弱性を悪用する、ネットワークセキュリティに対する巧妙ながらも強力な脅威です。サイバーセキュリティ専門家は、これらの脆弱性を理解し、効果的な軽減策を講じることが不可欠です。積極的な対策を講じることで、このような攻撃の成功率を大幅に低減できます。具体的な対策としては、SMB署名の実装、LDAP署名とLDAPSの適用、EPAやMICなどのセキュリティ機能の活用などが挙げられますが、これらに限定されるものではありません。NTLMリレーはIT業界において依然としてセキュリティ上の課題となっており、堅牢で侵入不可能なネットワークセキュリティを実現するためには、その軽減策を習得することが不可欠です。