MandiantがNTLMv1のレインボーテーブルを公開、移行促す狙い

佐々山 Tacos

2026.01.19

Mandiantが脆弱な管理者パスワードをクラッキング可能なレインボーテーブルを公開、NTLM.v1からの移行促す狙い

Ars Technica – January 17, 2026

セキュリティ企業のMandiantは1月16日、マイクロソフトのハッシュアルゴリズムNTLM.v1で保護されたあらゆる管理者パスワードを12時間以内にクラッキング可能なレインボーテーブルのリリースを発表。これは、20年以上にわたって安全性の問題が指摘されてきたNTLM.v1からの移行を促すためのものだという。

マイクロソフトは1980年代に、OS/2のリリースと共に認証プロトコルNTLM.v1をリリース。その後1999年には、NTLMv1の基盤にある重大な弱点を暴き出す調査結果が暗号解読者により公開されていた。

それ以降長らく脆弱さとクラッキングの容易さが知れ渡っており、またマイクロソフトは1998年のWindows NT SP4リリース時に上記の弱点を修正したNTLMv2を導入しているものの、NTLMv1はいまだにいくつかの機微性の高いネットワークで使われ続けているという。これには、特に医療や産業などの分野において新しいハッシュアルゴリズムとの互換性がない古いアプリケーションが引き続き使用されていることや、ダウンタイムを生じさせることのできないミッションクリティカルなシステムの場合移行が困難であることなどの背景があるほか、怠慢や経費削減なども、スムーズに移行が行われない理由の1つでもあるとされる。

実際にMandiantによれば、同社のコンサルタントは「稼働環境での使用を依然として確認している」という。同社は、NTLMv1プロトコルは「組織を単純な認証情報窃取攻撃の危険に晒すにもかかわらず、慣性が原因で、また即時のリスクが実証されていないことを背景として、依然として広く普及している」と指摘した。今回のレインボーテーブルリリースの目的は、こうした状況について警鐘を鳴らすため、また、セキュリティ担当者らが「Net-NTLMv1の危険性を実証する際の障壁を下げる」ためだという。

ソーシャルメディアMastodonでは、研究者や管理者たちからこの動きを称賛する声が上がっている。セキュリティ担当者や管理者らは折に触れて、システムの脆弱さを経営層などに説明し、移行のための投資判断を促す必要性に迫られることがあるが、あるユーザーは、このレインボーテーブルを利用することで、移行投資について意思決定者を説得する際の追加的な根拠が得られるようになるだろうと述べた。

またMandiantのレインボーテーブルはこうしたセキュリティ専門家だけでなく攻撃者も利用できるものの、あるMastodonユーザーは、攻撃者らにとっては「大した意味をなさないだろう」と指摘。その理由として攻撃者らがすでにより有力な同種のツールを手にしている可能性が高いことを挙げた上で、「一方で、NTLMv1が安全ではないことを訴える際に役立つ」ものになるとの見方を示した。

マドゥロ大統領拘束の話題をルアーにしたフィッシングで米政府機関が狙われる、中国スパイが関与の可能性

The Register – Thu 15 Jan 2026

中国のサイバースパイとみられる攻撃者らが、米国によるベネズエラ侵攻の話題をフィッシングルアーとして利用しているのが観測されたという。米国の政府機関や政策関連組織を標的とするこのフィッシングキャンペーンについて、Acronis Threat Research Unitが報告した。

Acronis Threat Research Unitの研究者らは、「US now deciding what’s next for Venezuela（米国がベネズエラに関する次の一手を検討中）」と題されたzipファイルが1月初頭にVirusTotalへアップロードされていたのを発見。これには、「Maduro to be taken to New York.exe」と名付けられた正規の実行ファイル1件とともに、悪意あるDLL「kugou.dll」が含まれていた。

調査を進めるうちに、実行ファイルによってサイドロード・実行されるこのDLLは主要なバックドアとして機能するものであることが明らかに。研究者らが「LOTUSLITE」として追跡するこのバックドアはカスタムのC++インプラントで、感染したマシン上での永続性を確立してハードコードされたIPベースのC2サーバーと接続し、マシンからのデータ窃取を可能にする。

このように、アーカイブに含まれた正規の実行ファイルと隠された非標準的なDLLを組み合わせるやり方は、中国関連のアクター「Mustang Panda」の手口と結びつけられることが多いという。加えて、インフラや技術面での一致などその他の要素も踏まえ、Acronis Threat Research UnitはこのフィッシングキャンペーンがMustang Pandaによるものであると「中程度の確度」で評価している。UNC6384、Twill Typhoonといった呼び名でも知られるMustang Pandaは中国政府との結びつきがあると考えられているスパイグループで、米国やヨーロッパ、インド太平洋地域で多数の政府機関や民間組織を侵害してきたと報告されている。

Mustang Pandaは過去のフィッシングキャンペーンでも、外交上の会議や地域特有の政治的イベントに関連したルアーを用いるなど、進行中の地政学的事象の話題を取り入れるという機会主義的かつ時事ネタ即応型のスパイキャンペーンを実施してきたとされる。同様に今回も、マドゥロ大統領が捕獲された直後にこのテーマを取り入れるという迅速な動きがみられた。

Acronis Threat Research Unitによれば、今回のキャンペーンは広範囲をランダムに狙うような攻撃ではなく、狭い範囲に標的を絞ったものだったという。なお、今回標的になった組織のコンピューターのうち、攻撃者による侵害が成功したものがあったかどうかは明かされていない。