NT LAN Manager

NT LAN Manager (NTLM) は、マイクロソフトによるセキュリティプロトコルであり、利用者に機密性、完全性、可用性といった情報セキュリティを提供する[1][2][3]。NTLMは、マイクロソフトによるアプリケーションプロトコルであるLAN Manager (LANMAN, LM) の後継である。NTLM バージョン2 (NTLMv2) はWindows NT 4.0 SP4から導入され(Windows 2000以降で標準対応)、多くの攻撃に対する耐性の向上と、クライアント認証機能の追加が行われた[1][4][5]

ベンダーによる推奨

2014年現在、マイクロソフトではNTLMの利用を推奨していない[6]

"(NTLMを)実装する者は、NTLMがAESSHA-256といった最近の暗号メソッドをサポートしていないことを考慮してください。NTLMでは、データの完全性の検証に巡回冗長検査 (CRC) あるいは Message Digest Algorithm (RFC 1321)(注:MD5のこと)を、暗号化にはRC4を用いています。

パスワードから導出される鍵は RFC 1320(注:MD4のこと)および FIPS 46-2(注:DESのこと)に基づいています。以上の理由より、アプリケーションではNTLMを使用しないよう推奨します。"

マイクロソフトでは、運用性向上のためにNTLMハッシュをケルベロス認証の実装に追加している。研究者によると、このような設計により、NTLMハッシュが既知の場合に攻撃者がドメインコントローラにケルベロス認証のチケットを発行させることが可能となっている[7]

Active DirectoryによるシングルサインオンにおいてはNTLMに代わりケルベロス認証が既定の認証プロトコルとなったが、NTLMはドメインコントローラが利用できない環境において広く利用されている。例えば、クライアントがケルベロス認証に対応していない場合、サーバがドメインに参加していない場合、ユーザーがインターネット経由のリモートで認証されている場合などが挙げられる[1][3]

NTLMとケルベロス認証

マイクロソフトではWindows 2000以降およびActive Directoryドメインにおいてはケルベロス認証を推奨の認証プロトコルとしており[5]Windowsドメイン英語版に参加しているサーバで広く利用されている。

一方、NTLMは以下のような状況で現在でも使われている。

  • IPアドレスで指定されたサーバにクライアントが認証する
  • 異なるActive Directory(ディレクトリ間の信頼モデルではなく旧式のNTLMの信頼モデルを使用している)に参加しているサーバにクライアントが認証する
  • ドメインに参加していないサーバーにクライアントが認証する
  • Active Directoryのドメインが存在しない("workgroup"あるいは"peer-to-peer"と参照されることが多い)
  • ファイアーウォールがケルベロス認証に必要なポート(通常はTCP 88)の使用を制限している

Windows Vista以降では、LMおよびNTLMは既定では使用されない。NTLMは内部認証には使用されているが、外部向けの認証ではNTLMv2が使用される。古いバージョンのWindowsでも同様の設定を行うことが可能である。

プロトコル

NTLMはチャレンジ&レスポンス認証英語版プロトコルであり、クライアントの認証には3つのメッセージが用いられ、データ完全性の検証のためにさらに1つのメッセージが用いられる[8][9][10][11]

  1. クライアントがサーバへのネットワークパスを確立し、対応機能を告知するNEGOTIATE_MESSAGEを送信する[12]
  2. サーバがクライアントの身元を確立するためのCHALLENGE_MESSAGEを返信する[13]
  3. クライアントがAUTHENTICATE_MESSAGEと共にチャレンジを返信する[14]

NTLMプロトコルでは1つあるいは2つのパスワードのハッシュ値が用いられ、サーバ(あるいはドメインコントローラ)に保存される。これらのハッシュ値はパスワードと等価に扱われる。すなわち、何らかの方法でこれらのハッシュ値をサーバから取得することができれば、実際のパスワードを知ることなく認証を行うことが可能となる。ハッシュ値の一方はLMハッシュ(パスワードの最初の14文字からDESを基とした関数によって生成されたハッシュ値)、もう一方はNTハッシュ(パスワードをUTF-16リトルエンディアンで表現したもののMD4)である。どちらも長さは16バイト(128ビット)である[15]

NTLMでは一方向関数も用いられる。バージョン1ではDESをベースとしたLanMan one way function (LMOWF)が、バージョン2ではMD4をベースとしたNT MD4 based one way function (NTOWF)が用いられる。[15][16]

NTLMv1

NTLMバージョン1 (NTLMv1) では、サーバは8バイトのランダム文字列をチャレンジとして送信することでクライアントを認証する。クライアントはこのチャレンジと秘密鍵を組み合わせる。秘密鍵は前述のパスワードのハッシュ値の1つから生成され、合わせて24バイトの文字列が返信される。実際には、パスワードのハッシュ値の両方が用いられ、それぞれから求められる24バイトの文字列の両方が送信される。サーバはクライアントから送信された文字列を検証し、クライアントを認証する。

どちらのハッシュ値も16バイトの長さを有している。5バイト分の0を追加し21バイトとした後に、7バイト(56ビット)ずつに分割する。これら56ビットの文字列を鍵として、64ビットのチャレンジをDESによって暗号化する。得られたチャレンジの暗号化結果3つを統合し、24バイトのレスポンスとする。LMハッシュ、NTハッシュからそれぞれ得られたレスポンスをサーバへ返信する。 

C = 8-byte server challenge, random
K1 | K2 | K3 = NT-Hash | 5-bytes-0
R1 = DES(K1,C) | DES(K2,C) | DES(K3,C)
K1 | K2 | K3 = LM-Hash | 5-bytes-0
R2 = DES(K1,C) | DES(K2,C) | DES(K3,C)
response = R1 | R2

NTLMv2

Windows NT 4.0で導入された[17]NTLMバージョン2 (NTLMv2) は、NTLMv1を暗号学的により強固にしたものである。

NTLMv2では、8バイトのサーバチャレンジを2つクライアントへ送信する。それぞれに対するレスポンスは、サーバチャレンジ、ランダムに生成されたクライアントチャレンジ、ユーザのパスワードやそのほかの認証情報のHMA-MD5ハッシュの3つのHMAC-MD5ハッシュを含んでいる。

2つのレスポンスでは、クライアントチャレンジのフォーマットが異なっている。短い方のレスポンスでは、8バイトのランダム文字列をクライアントチャレンジとして用いる。レスポンスの検証のために、サーバはこのクライアントチャレンジをレスポンスの一部として受け取る。この短いレスポンスでは、8バイトのクライアントチャレンジを16バイトに伸ばしたうえでNTLMv1プロトコルと同様の手法で24バイトのレスポンスとする。非公式のドキュメントでは、このレスポンスはLMv2と呼ばれる。

もう一方のレスポンスでは、(1)NT Timeフォーマットによる現在時刻、(2)8バイトのランダム文字列(以下の式におけるCC2)、(3)ドメイン名、(4)標準化のための埋め草を含む可変長のクライアントチャレンジを用いる。この可変長クライアントチャレンジを含むため、こちらのレスポンスも可変長となる。非公式のドキュメントではこちらのレスポンスはNTv2と呼ばれる。

LMv2とNTv2はいずれも、サーバチャレンジ、クライアントチャレンジ、ユーザのパスワードやそのほかの認証情報のハッシュとなる。 

SC = 8-byte server challenge, random
CC = 8-byte client challenge, random
CC* = (X, time, CC2, domain name)
v2-Hash = HMAC-MD5(NT-Hash, user name, domain name)
LMv2 = HMAC-MD5(v2-Hash, SC, CC)
NTv2 = HMAC-MD5(v2-Hash, SC, CC*)
response = LMv2 | CC | NTv2 | CC*

NTLM2セッション

NTLM2セッションはMS-CHAPv2と類似している[18]。認証にNTLMv1を、セッションのセキュリティにNTLMv2を利用している。

NTLM2セッションは、8バイトのクライアントチャレンジを8バイトのサーバチャレンジと合わせたうえでMD5ハッシュをとる以外はNTLMv1アルゴリズムと同じである。ハッシュの前半はNTLMv1におけるチャレンジと一致する。クライアントチャレンジはレスポンスの1つの24バイトのスロットとして返信され、計算された24バイトのレスポンスは異なるスロットとして返信される。

これは既存のドメインコントローラにおける互換性を維持しつつ、辞書攻撃への耐性を強化したNTLMv1の変形と言える。チャレンジの選択にクライアントが関与しない場合、サーバ側がレインボーテーブルによって攻撃が可能となる[19]

既存のNTLMv1インフラではチャレンジ/レスポンスの組はサーバによって検証されないが、ドメインコントローラに送ることで検証が可能となる。NTLM2セッションを用いることで、サーバチャレンジをサーバ・クライアントチャレンジのハッシュで代用することでこれら古いインフラを継続して利用可能となる。 

NTLMv1
  Client<-Server:  SC
  Client->Server:  H(P,SC)
  Server->DomCntl: H(P,SC), SC
  Server<-DomCntl: yes or no

NTLM2 Session
  Client<-Server:  SC
  Client->Server:  H(P,H'(SC,CC)), CC
  Server->DomCntl: H(P,H'(SC,CC)), H'(SC,CC)
  Server<-DomCntl: yes or no

脆弱性

NTLMは広く用いられており、古いシステムとの互換性維持のために新しいシステムにおいても利用されている。NTLMはリフレクション攻撃英語版の一種であるpass the hash英語版に対して脆弱である (MS08-068)。例えば、Metasploitを用いてあるマシンから認証情報を取得することで、他のマシンの制御を奪うことが可能である[3][20]。Squirtle toolkitによって、ウェブサイトへのクロスサイトスクリプティング攻撃をNTLM経由での攻撃に利用することも可能である[21]

2010年2月、WindowsのNTLM認証メカニズムの実装における複数の欠陥がAmplia Securityによって発見された。この欠陥を利用することで、攻撃者がファイルへの読み込み/書込み権限やリモートでのコード実行の権限を取得することが可能となる。攻撃の1つは、NTLMにおける疑似乱数とチャレンジ&レスポンス認証を推測可能なものであった。これらの欠陥は、Windowsのすべてのバージョンで17年以上にわたり存在していたものである。セキュリティアドバイザリでは、これとは異なる完全に動作するエクスプロイトが含まれていた。これらの欠陥のすべてはMS10-012によって修正された[22][23]

脚注

  1. ^ a b c “Introduction”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236701%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  2. ^ “Session Security Details”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236701%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  3. ^ a b c Takahashi, T (2009-12-17), “Reflecting on NTLM Reflection”, FrequencyX Blog (IBM Internet System Security (ISS)), http://blogs.iss.net/archive/NTLMReflection.html 2014年10月5日閲覧。 
  4. ^ How to enable NTLM 2 authentication, Support, Microsoft, (2007-01-25), http://support.microsoft.com/?kbid=239869 2014年10月5日閲覧。 
  5. ^ a b “Security Configuration”, Microsoft Windows 2000 Security Hardening Guide, TechNet (Microsoft), http://technet.microsoft.com/en-us/library/dd277307.aspx 2014年10月5日閲覧。 
  6. ^ “Security Considerations for Implementers”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236715(v=PROT.10).aspx 2014年10月5日閲覧。 
  7. ^ Active Directory Vulnerability Disclosure: Weak encryption enables attacker to change a victim’s password without being logged” (2014年7月15日). 2014年10月5日閲覧。
  8. ^ “Microsoft NTLM”, MSDN (Microsoft), http://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx 2014年10月5日閲覧。 
  9. ^ “Message Syntax | section 2.2”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236639%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  10. ^ “Connection-Oriented”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236674%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  11. ^ “Connectionless”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236677%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  12. ^ “NEGOTIATE_MESSAGE”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236641%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  13. ^ “CHALLENGE_MESSAGE”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236642%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  14. ^ “AUTHENTICATE_MESSAGE”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236643%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  15. ^ a b “NTLM v1 Authentication”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236699%28PROT.10%29.aspx 2014年10月5日閲覧。 
  16. ^ “NTLM v2 Authentication”, NT LAN Manager (NTLM) Authentication Protocol Specification (Microsoft), http://msdn.microsoft.com/en-us/library/cc236700%28v=PROT.10%29.aspx 2014年10月5日閲覧。 
  17. ^ What's New in Windows NT 4.0 Service Pack 4?
  18. ^ Glass, Eric, “NTLM”, Davenport, Source forge, http://davenport.sourceforge.net/ntlm.html 
  19. ^ Varughese, Sam (February 2006). “Rainbow Cracking and Password Security”. Palisade. 2014年10月5日閲覧。
  20. ^ HD Moore. “MS08-068: Metasploit and SMB Relay”. 2014年10月5日閲覧。
  21. ^ Kurt Grutzmacher (8 August 2008). Nail the Coffin Shut, NTLM is Dead. Defcon 16.
  22. ^ Hernan Ochoa and Agustin Azubel (28 July 2010). Understanding the Windows SMB NTLM Weak Nonce vulnerability (PDF). Blackhat USA 2010.
  23. ^ Hernan Ochoa and Agustin Azubel. “Windows SMB NTLM Weak Nonce vulnerability Security Advisory”. 2014年10月5日閲覧。

関連項目

外部リンク