セキュリティ企業Mandiantは、時代遅れのNTLMv1ハッシュアルゴリズムで保護された管理者パスワードを、手頃なハードウェアで12時間以内に解析できるレインボーテーブルを公開した。このツールは、敏感なネットワークでのこの脆弱なプロトコルの残存使用を対象としている。Mandiantは、これにより組織がこの非推奨機能を放棄するよう促すことを期待している。
Mandiantのセキュリティ研究者は、長年非推奨となっているNTLMv1ハッシュアルゴリズムの危険性を強調するための新しいリソースを導入した。2026年1月16日に公開されたレインボーテーブルは、ハッシュ値と平文パスワードをマッピングした事前計算データベースである。Net-NTLMv1で保護された認証情報(SMBファイル共有などのネットワーク認証で使用されるもの)を、600ドル未満のコンシューマーグレードのハードウェアで12時間以内に復元できる。テーブルはGoogle Cloudにホストされており、既知の平文チャレンジ1122334455667788で生成されたパスワードに対して動作する。 NTLMv1は1980年代に遡り、MicrosoftのOS/2オペレーティングシステムで導入された。その弱点は1999年に暗号アナリストのBruce Schneierと研究者のMudgeによって初めて暴露された。Microsoftは1998年のWindows NT SP4でNTLMv2によりこれらの欠陥を修正した。それにもかかわらず、2025年8月のNTLMv1非推奨発表にもかかわらず、このプロトコルは一部の重要セクターで存続している。医療や産業制御システムなどの業界は、新しいアルゴリズムと互換性のないレガシーアプリケーションに固執しており、移行コストと運用慣性によって複雑化している。 「これらのテーブルを公開することで、Mandiantはセキュリティ専門家がNet-NTLMv1の非安全性を実証するための障壁を下げることを目指している」と同社は述べた。Responder、PetitPotam、DFSCoerceなどの既存の搾取ツールはNet-NTLMv1ハッシュを強制できるが、以前はその解析に多大なリソースや第三者サービスが必要だった。Mandiantのコンサルタントは現在もアクティブな環境でNTLMv1に遭遇しており、組織を簡単な認証情報窃取にさらしている。 セキュリティコミュニティからのフィードバックは好意的である。あるinfosec専門家がMastodonで共有した:「私の(確かに短い)infosecキャリアで、システムの弱点を証明しなければならなかったケースが複数あり、通常は翌朝に彼らの机にパスワードが書かれた紙を置くことになる。これらのレインボーテーブルは攻撃者にとっては大した意味がないだろう。彼らはすでに持っているか、はるかに優れた方法を持っているだろうが、NTLMv1が安全でないという主張を強化するのに役立つだろう。」 MandiantはNet-NTLMv1の即時無効化を促し、移行手順のガイダンスを提供している。この公開は遅れをとっている組織への警鐘であり、継続使用が回避可能なリスクを招くことを強調している。」
