Mandiant Releases Rainbow Tables Enabling NTLMv1 Admin Password Hacking
2026/01/17 CyberSecurityNews — Google 傘下の Mandiant が公開したのは、Net-NTLMv1 向けの包括的な Rainbow Table データセットである。それにより、レガシー認証プロトコルが抱えるセキュリティ・リスクの実証が大幅に推進されることになる。このデータセットにより Mandiant が強調するのは、Net-NTLMv1 から直ちに移行する必要があるという、ユーザー組織に対する緊急のメッセージである。Net-NTLMv1 は、1999 年の時点で暗号学的に破られており、遅くとも 2012 年からは安全でないことが広く知られている、非推奨のプロトコルである。
20 年以上にわたる警告にもかかわらず、いまも企業環境で稼働し続けている Net-NTLMv1 を、Mandiant のコンサルタントが特定した。それが示すのは、組織的な惰性が是正を妨げる重大な障壁であることだ。
このリリースの重要性は、資格情報の回復に必要とされる、運用上の障壁を大幅に引き下げた点にある。従来、Net-NTLMv1 の悪用を実証するには、機密性の高い認証データのサードパーティ・サービスへのアップロードもしくは、高価な専用ハードウェアによるブルートフォース攻撃が必要であった。
しかし、Mandiant のデータセットを用いれば、$600 未満のコンシューマ向けハードウェアを用いて、12 時間未満で認証キーを回復できるようになった。この手軽さにより、Net-NTLMv1 は理論上の脆弱性から、広範な脅威アクターが悪用できる遥かに実践的な攻撃ベクターへと変化した。
Rainbow Table による NTLMv1 管理者侵害
この脆弱性により、Known Plaintext Attack (KPA) メカニズムを介した Net-NTLMv1 の侵害が可能になる。Extended Session Security (ESS) が無効化の状態で、攻撃者が既知の平文値 “1122334455667788” に対する Net-NTLMv1 ハッシュを取得すると、KPA によりキー素材が回復される。このキー素材は、認証を行った Active Directory オブジェクトのパスワード・ハッシュに相当する。
一般的な攻撃チェーンは、PetitPotam/DFSCoerce などのツールにより、ドメイン・コントローラのような高権限ターゲットに対して認証強制を行い、着信接続を発生させることから始まる。つまり、この認証の強制により、Rainbow Table でハッシュを解読し、AD の最高権限を掌握するという狙いが成立する。
こうして取得された Net-NTLMv1 ハッシュは、ntlmv1-multi などのユーティリティを介して DES コンポーネントのために前処理される。その後に、RainbowCrack/RainbowCrack-NG などのツールを用いて、Mandiant の Rainbow Table を適用することで DES キーを回復する。
最終的なキー・コンポーネントは、専用ツールによる計算/参照で取得されるため、完全な NT ハッシュの再構成と、資格情報の侵害が成立する。
一般的な権限昇格パスとして挙げられるのは、ドメイン・コントローラのマシン・アカウント・ハッシュを回復し、その後に DCSync 攻撃を実行することで、Active Directory 内の任意のアカウントを侵害する手法である。
Rainbow Table は、1980 年に Martin Hellman が提唱した時間とメモリのトレードオフ技法であり、2003 年に Philippe Oechslin により進化がもたらされた。2016年8月には Hashcat が、既知の平文を用いた DES キー解読をサポートし、Net-NTLMv1 悪用をさらに一般化させた。
今回の Mandiant の公開は、Google Cloud の計算リソースと最前線のセキュリティ専門知識を組み合わせ、認証攻撃の一分野を大規模に無力化するものになる。
このデータセットは、Google Cloud Research Dataset ポータルまたは gsutil コマンド経由で入手できる。SHA512 チェックサムにより完全性の検証が可能であり、すでに CPU/GPU 両方に最適化された派生実装もコミュニティにより作成されている。
この攻撃においては、Responder に “–lm” および “–disable-ess” フラグを指定し、認証値を静的な “1122334455667788” に設定することで、Net-NTLMv1 ネゴシエーションが強制される。
ユーザー組織に推奨されるのは、Windows イベントログの Event ID 4624 (ログオン成功) をフィルタリングし、”Authentication Package” フィールドに LM または NTLMv1 が現れた場合にアラートを発することで、この活動を検知するという手法である。
即時的な緩和策としては、組織全体で Net-NTLMv1 を無効化するという方式もある。Windows システムでは、ローカル・セキュリティ設定またはグループ・ポリシーにおいて、 “Network Security: LAN Manager authentication level” を “Send NTLMv2 response only” に設定する必要がある。
ただし、ローカル設定においては、管理者権限を取得した攻撃者による侵害後のダウングレードが実施される可能性がある。そのため、ポリシー適用だけではなく、継続的な監視と検知メカニズムが不可欠になる。
Mandiant による Rainbow Table の公開は、Net-NTLMv1 セキュリティ議論における重要な転換点である。かつて、学術的な懸念に過ぎなかった問題が、実用的かつ容易に悪用可能な攻撃ベクターへと変貌した。そのため、ユーザー組織における速やかな対応と包括的な是正の戦略が求められている。
1990 年代から危険性が指摘されていた認証プロトコル Net-NTLMv1 ですが、Mandiant が公開したデータセットにより、誰もが安価に、かつ、瞬時に突破できるものとなりました。Net-NTLMv1 が抱える致命的な欠陥は、その暗号化に脆弱な DES (Data Encryption Standard) アルゴリズムを使用している点にあります。攻撃者は、サーバに対して特定の固定値 “1122334455667788” を用いた認証を強制し、その結果として得られたハッシュを Mandiant の Rainbow Table と照合することで、認証に必要なキー素材を数分〜十数時間で復元できてしまいます。この手法が恐ろしいのは、Active Directory 環境における特権昇格に直結するためです。
- 認証の強制:PetitPotam などのツールを使い、ドメイン・コントローラなどの高権限アカウントに強制的に認証を行わせます。
- ハッシュの取得と解読:攻撃者の手元に返される Net-NTLMv1 ハッシュを、今回のデータセットで解読し、パスワード・ハッシュを特定します。
- 完全な侵害:特定したハッシュを用いて DCSync攻撃 を実行し、ドメイン内の全ユーザーのパスワード情報を盗み出します。
かつては、この解読において高価なスーパー・コンピュータやクラウド・リソースが必要でしたが、現在は $600 の PC があれば半日足らずで完了するとのことです。ご利用のチームは、ご注意ください。よろしければ、NTLM での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.