WindowsのNTLM認証で発見された脆弱性「CVE-2025-24054」が、ポーランドやルーマニアの公的機関を狙ったフィッシング攻撃で早くも悪用されていることが、Check Pointの調査で明らかになった。この脆弱性は、Windowsの.library-msファイルを開かずとも、選択や右クリックだけでSMBサーバーにNTLMハッシュを送信してしまうという致命的な設計に起因しており、3月のMicrosoftパッチ公開直後から攻撃が活発化した。

悪用にはZIPファイルすら不要となり、単体ファイルの受信だけで危険が発生する点が注目されている。APT28との関係が疑われるものの断定には至っておらず、今後の分析が求められる。NTLMの使用継続に不安が高まる中、Kerberosへの移行が急務といえる。

.library-ms形式を悪用した新手のフィッシング手法が台頭

Check Pointの報告によると、Windowsの.library-msファイル形式を悪用するフィッシング攻撃が急増している。ZIPアーカイブに仕込まれたこのファイルをユーザーが開かなくても、単にクリックやプロパティ表示といった軽微な操作だけでNTLMハッシュが漏洩する仕組みで、極めて巧妙な手口とされる。これによりWindowsが攻撃者の管理するSMBサーバーに接続し、NTLMを用いた認証を試みた際にハッシュが送信される。標的にはポーランドやルーマニアなどの政府機関が含まれており、3月20日から25日の間に攻撃の件数が急増した。

特筆すべきは、攻撃手法が短期間で進化している点にある。初期の攻撃ではZIPに格納された.library-msが使われたが、その後は単体ファイルとして送信する形式に変化。ZIP化が不要であることが確認された。クリックだけでトリガーされる脆弱性であることから、従来の「ファイルを開かなければ安全」という認識が通用しない点は非常に重大だ。ファイルの見た目や拡張子に対する信頼は無防備なリスクとなり得る。

SMB通信を介したNTLMハッシュ漏洩のリスクとその影響

NTLM(New Technology LAN Manager)はMicrosoftが長年採用してきた認証プロトコルで、ハッシュを用いたチャレンジ・レスポンス方式によりパスワードの平文送信を避ける仕組みとなっている。しかし、リプレイ攻撃やハッシュのブルートフォース解析に脆弱であることが以前から指摘されており、Microsoft自身も段階的な廃止とKerberosやNegotiateへの移行を推奨している。今回のCVE-2025-24054による攻撃では、NTLMの認証要求が自動的に外部のSMBサーバーに送信されてしまうため、漏洩したハッシュを使った認証回避や権限昇格といった攻撃につながる可能性がある。

Microsoftはこの問題を3月のPatch Tuesdayで修正しているが、当初は「悪用の可能性は低い」と評価されていた。それにもかかわらず、現実にはパッチ公開直後から標的型攻撃が観測されており、評価とのギャップが浮き彫りとなった。実際のリスクは「中程度」どころではなく、標的となった組織の性質や漏洩対象の認証情報によっては、被害の深刻度は計り知れない。NTLM認証を必要としない環境での無効化は、今後の必須対応といえる。

APT28関与の可能性とフィッシングキャンペーンの広がり

攻撃に使用されたIPアドレスの一部は、過去にロシアの国家支援型サイバー集団APT28(別名:Fancy Bear)との関連が指摘されている。とはいえ、今回のキャンペーンで彼らが直接関与しているかどうかは、現時点では証拠不十分とされており断定は避けられている。それでも、政治的・地政学的に影響力のある組織を狙う攻撃であることから、特定国家の支援を受けた高度なグループによる関与が疑われる構図に変わりはない。

加えて、.library-ms形式が失敗した場合のバックアップとして、「xd.url」「xd.website」「xd.link」といったファイルが含まれていたことも報告されている。これらも古くから知られるNTLM漏洩の手口を内包しており、攻撃者が複数のアプローチを並行して仕込んでいたことがわかる。Check Pointは3月25日の時点で、グローバルな企業に対して同様の攻撃が拡大していたと報告しており、今後も業種や国を問わず脅威が広がる可能性が高い。攻撃の冗長性と広範性から見ても、単発的な事件とは見なせない深刻な局面である。

Source:BleepingComputer