Microsoftは、Windows Active Directoryにおける陳腐化したRC4暗号を2026年中旬までに無効化し、数十年におよぶセキュリティ脆弱性を解消します。この措置は、大規模ハックにおけるその役割に対する批判を受けてのもので、昨年140の病院に影響を与えたAscension侵害も含まれます。管理者らは現在、残存するRC4使用をネットワークで監査する必要があります。
Microsoftは2000年にActive Directoryを導入して以来、26年間にわたりWindowsで弱いRC4暗号をデフォルトでサポートしてきました。1987年にRon Rivestが開発したRC4は、1994年の漏洩直後に主要な暗号攻撃を受けましたが、SSLやTLSなどのプロトコルで約10年前まで使用が続きました。
AESセキュアスタンダードへのアップグレードにもかかわらず、Windowsサーバーは認証リクエストでRC4にフォールバックし続け、2014年以来知られるKerberoastingなどの攻撃を可能にしました。この脆弱性はAscension Health侵害に寄与し、140病院のサービスを中断し、560万人の患者記録を暴露しました。
9月、米上院議員Ron Wyden氏は、RC4の継続サポートを理由に「重大なサイバーセキュリティ怠慢」でMicrosoftを連邦取引委員会に調査するよう促しました。
先週、MicrosoftはRC4の廃止を発表しました。「2026年中旬までに、Windows Server 2008以降のKerberos鍵配信センター(KDC)のドメインコントローラー標準値をAES-SHA1暗号のみ許可するよう更新します」と、主任プログラムマネージャーのMatthew Palko氏が書いています。「RC4はデフォルトで無効化され、ドメイン管理者がアカウントやKDCを明示的に設定した場合にのみ使用されます。」
Windows Server 2008以来利用可能なAES-SHA1は、反復ハッシュとソルトを使用し、RC4の塩なし単一ラウンドMD4実装よりも約1,000倍破解が困難です。
移行支援として、MicrosoftはKDCログの更新版とRC4使用検出のためのPowerShellスクリプトを提供しており、レガシーサードパーティシステムには不可欠です。Microsoft Windows認証チームのSteve Syfuhs氏はBlueskyで課題を指摘:「問題は、過去25年間に発売されたすべてのOSに存在する暗号アルゴリズムを排除するのが難しいことです。」
過去10年間で、Microsoftは段階的な変更によりRC4使用を大幅に削減し、広範な障害なくほぼゼロにしました。