Microsoft、脆弱なRC4暗号を2026年中旬までに廃止

日本語

Microsoftは、Windows Active Directoryにおける陳腐化したRC4暗号を2026年中旬までに無効化し、数十年におよぶセキュリティ脆弱性を解消します。この措置は、大規模ハックにおけるその役割に対する批判を受けてのもので、昨年140の病院に影響を与えたAscension侵害も含まれます。管理者らは現在、残存するRC4使用をネットワークで監査する必要があります。

Microsoftは2000年にActive Directoryを導入して以来、26年間にわたりWindowsで弱いRC4暗号をデフォルトでサポートしてきました。1987年にRon Rivestが開発したRC4は、1994年の漏洩直後に主要な暗号攻撃を受けましたが、SSLやTLSなどのプロトコルで約10年前まで使用が続きました。

AESセキュアスタンダードへのアップグレードにもかかわらず、Windowsサーバーは認証リクエストでRC4にフォールバックし続け、2014年以来知られるKerberoastingなどの攻撃を可能にしました。この脆弱性はAscension Health侵害に寄与し、140病院のサービスを中断し、560万人の患者記録を暴露しました。

9月、米上院議員Ron Wyden氏は、RC4の継続サポートを理由に「重大なサイバーセキュリティ怠慢」でMicrosoftを連邦取引委員会に調査するよう促しました。

先週、MicrosoftはRC4の廃止を発表しました。「2026年中旬までに、Windows Server 2008以降のKerberos鍵配信センター(KDC)のドメインコントローラー標準値をAES-SHA1暗号のみ許可するよう更新します」と、主任プログラムマネージャーのMatthew Palko氏が書いています。「RC4はデフォルトで無効化され、ドメイン管理者がアカウントやKDCを明示的に設定した場合にのみ使用されます。」

Windows Server 2008以来利用可能なAES-SHA1は、反復ハッシュとソルトを使用し、RC4の塩なし単一ラウンドMD4実装よりも約1,000倍破解が困難です。

移行支援として、MicrosoftはKDCログの更新版とRC4使用検出のためのPowerShellスクリプトを提供しており、レガシーサードパーティシステムには不可欠です。Microsoft Windows認証チームのSteve Syfuhs氏はBlueskyで課題を指摘:「問題は、過去25年間に発売されたすべてのOSに存在する暗号アルゴリズムを排除するのが難しいことです。」

過去10年間で、Microsoftは段階的な変更によりRC4使用を大幅に削減し、広範な障害なくほぼゼロにしました。

関連記事

Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.
AIによって生成された画像

VanHelsing ransomware RaaS が複数のプラットフォームを標的に

AIによるレポート AIによって生成された画像

VanHelsing と呼ばれる新しいランサムウェア・アズ・ア・サービス運用が 2025 年 3 月 7 日に登場し、迅速に少なくとも 3 人の被害者を主張しました。Windows、Linux、BSD、ARM、ESXi システムへの攻撃をサポートし、アフィリエイトは 5,000 ドルのデポジット後に身代金の 80% を保持します。グループは独立国家共同体内のエンティティを標的にすることを禁止しています。

パスキーが2026年にパスワードを置き換える準備

煩わしいパスワードの時代は2026年に終わる可能性があり、パスキーがバイオメトリクスを使ったより安全な代替として登場。サイバーセキュリティ専門家は、Microsoftのような大手企業による推進で広範な採用を予測。この移行は、より簡単なログインとハッキングリスクの低減を約束する。

MandiantがNTLMv1パスワードを解析するためのレインボーテーブルを公開

AIによるレポート

セキュリティ企業Mandiantは、時代遅れのNTLMv1ハッシュアルゴリズムで保護された管理者パスワードを、手頃なハードウェアで12時間以内に解析できるレインボーテーブルを公開した。このツールは、敏感なネットワークでのこの脆弱なプロトコルの残存使用を対象としている。Mandiantは、これにより組織がこの非推奨機能を放棄するよう促すことを期待している。

技術

Windows 10のサポートが終了、強みと弱みが振り返られる

クリプト

金融セクター、量子暗号の緊急リスクに直面

技術

Microsoft、要求があればFBIにBitLockerキーを共有することを確認

研究がパスワードマネージャーのゼロ知識主張の欠陥を明らかに

ETH ZurichとUSI Luganoの新研究が、人気のpassword managerに脆弱性を明らかにし、サーバーがユーザー vault にアクセスできないという保証に疑問を呈す。研究はBitwarden、Dashlane、LastPassを分析し、サーバー制御を持つ攻撃者がアカウント回復や共有などの機能が有効な場合にデータを盗んだり改ざんしたりする方法を特定。企業は問題をパッチし始めつつ、全体的なセキュリティ慣行を擁護している。

Microsoft、Teams向け新セキュリティ機能を発表

AIによるレポート

Microsoftは、Teamsプラットフォームの防御を強化するよう設計された新しいセキュリティ強化機能を導入しました。これらの更新は、悪意あるコンテンツに対するより良い保護を提供することを目的としています。発表は2025年12月30日に行われました。

AmazonがLinux WorkSpacesの認証トークンに関する脆弱性を公開

Amazon Web Servicesは、Linux向けWorkSpacesクライアントにセキュリティの欠陥があることを明らかにしました。この欠陥により、ローカル攻撃者が認証トークンを抽出して他のユーザーの仮想デスクトップにアクセスできるようになります。脆弱性CVE-2025-12779は、クライアントのバージョン2023.0から2024.8に影響を及ぼし、CVSSスコアは8.8です。AWSは、リスクを軽減するためにバージョン2025.0以降への即時アップグレードを推奨しています。

新しい gentlemen の RaaS が地下フォーラムで広告される

AIによるレポート

脅威アクター zeta88 が、ハッキングフォーラムで The Gentlemen's RaaS という新しい ransomware-as-a-service 運用を宣伝しており、Windows、Linux、ESXi システムを標的にしています。このプラットフォームは、アフィリエイトに身代金支払いの 90 パーセントを提供し、Go と C で開発されたクロスプラットフォームの暗号化ツールを備えています。この進展は、エンタープライズ環境を標的とした洗練されたランサムウェアの継続的な商業化を強調しています。

2026/02/25 22:57

量子ブレイクスルー、RSA暗号解読に必要な量子ビットを10分の1に削減

2026/02/10 12:30

Microsoft、2026年に期限切れとなるSecure Boot証明書の有効期限についてユーザーへ警告

2026/02/10 10:59

BeyondTrustのRCE欠陥、ログインなしでコード実行が可能

2026/02/04 19:25

ロシアのハッカーがパッチ後数日でMicrosoft Officeの脆弱性を悪用

2026/01/24 03:34

MicrosoftのBitLockerポリシーがLinuxへの切り替えを促す

2026/01/18 09:56

Microsoft、Windows 11のシャットダウン問題に対する緊急修正を公開

2026/01/07 09:35

GoBruteforcerボットネットが世界中のLinuxサーバーを標的に

2025/12/13 18:43

平文マスターキーの欠陥でCyberVolkのVolkLockerが妨げられる

2025/11/05 22:25

ロシアのハッカーがLinux VMを使ってWindows上のマルウェアを隠蔽

2025/10/27 10:24

QilinランサムウェアがLinuxバイナリをWindowsシステムに対して展開

 

 

 

このウェブサイトはCookieを使用します

サイトを改善するための分析にCookieを使用します。詳細については、プライバシーポリシーをお読みください。
拒否