マイクロソフトは、Windows 11 バージョン24H2およびWindows Server 2025において発生していたKerberos PKINIT事前認証関連の不具合に対処し、2025年4月のセキュリティ更新プログラムで修正を行った。この問題はCredential Guardを有効化している環境で、PKINITプロトコルを通じたパスワード自動更新が失敗することに起因し、ユーザーの認証障害を引き起こす恐れがあった。

影響は主にエンタープライズ向けの限定的な構成にとどまり、一般家庭用のWindows Homeエディションに対する影響は極めて限定的とされる。マイクロソフトは、暫定措置としてマシンアカウントのパスワードローテーション機能を無効化しており、恒久的な修正は今後の課題となっている。

過去にも同社は2022年や2021年にKerberos認証を巡る緊急対応を行っており、本件は認証基盤の脆弱性に対する継続的な課題を浮き彫りにしている。

エンタープライズ環境で発生したKerberos認証の障害と修正の詳細

今回修正が行われた不具合は、Windows 11 バージョン24H2およびWindows Server 2025の環境において、Kerberos PKINIT(Pre-Bootstrapping Key Initialization)事前認証プロトコルをCredential Guardと併用している場合に限定されるものである。

影響を受けたシステムでは、Identity Update Manager証明書を用いたパスワードの自動更新が正常に機能せず、結果として認証に失敗し、ユーザーやマシンアカウントが無効とみなされる可能性があった。特に、デフォルトで30日ごとに実行されるパスワード変更が行われなかった場合、セキュリティ上のトラブルが発生するリスクも指摘されていた。

これに対し、マイクロソフトは2025年4月のセキュリティアップデートで該当の問題を修正し、Windowsリリースヘルスダッシュボード上でも詳細な経緯を説明している。

なお、影響範囲はあくまでエンタープライズ構成に限られており、Windows Homeエディションのユーザーが本不具合の影響を受けることはほとんどないとされている。また、修正が恒久的なものであるかどうかについては明言されておらず、Credential Guardにおける一部機能の一時的な無効化措置が取られている点も注目される。

マイクロソフトが直面する認証基盤の継続的課題

今回のKerberos認証障害は初発ではなく、マイクロソフトは過去にも同様の問題に対して複数回の修正を強いられてきた。たとえば2022年11月には、サインイン失敗を引き起こす深刻な不具合に対し、緊急の臨時アップデート(Out-of-band update)を配布しており、さらに2021年11月にもWindows Serverにおけるデリゲーション機能の不備に対応する必要があった。

また、2020年以前にもWindows 2000以降のドメイン参加端末に対するKerberos関連の脆弱性が報告されているなど、認証基盤に関するトラブルは断続的に発生してきた経緯がある。

これらの繰り返される問題は、Kerberosという古典的でかつ複雑なプロトコル構造が、現代のセキュリティ要件に対して容易に脆弱性を孕みやすいことを物語っている。

マイクロソフトとしても互換性とセキュリティ強化の両立が求められる中、後方互換性を維持しながら脆弱性を封じる作業には限界が見え始めている。今後、企業ネットワークにおける認証の在り方を再構築する動きが必要となる局面が訪れる可能性は否定できない。

Source:BleepingComputer