<p><!--META { "title": "CVE-2024-21413: Microsoft Outlook RCEを可能にする認証バイパス脆弱性の技術解説と緩和策", "primary_category": "セキュリティ>脆弱性", "secondary_categories": ["NTLMリレー","リモートコード実行"], "tags": ["CVE-2024-21413","Microsoft Outlook","NTLMリレー","RCE","セキュリティ機能バイパス","パッチ管理","EPA"], "summary": "Microsoft OutlookのCVE-2024-21413について、認証バイパスとNTLMリレー攻撃によるRCEへの影響、および具体的な緩和策を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft OutlookのCVE-2024-21413は、NTLMリレー攻撃によるRCEを可能にする深刻な脆弱性です。パッチ適用、EPA有効化、レジストリ設定で防御しましょう。 #CVE202421413 #OutlookRCE #セキュリティ","hashtags":["#CVE202421413","#OutlookRCE","#セキュリティ"]}, "link_hints": [ "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413", "https://www.trellix.com/blogs/research/cve-2024-21413-microsoft-outlook-rce-vulnerability/", "https://www.zerodayinitiative.com/blog/2024/2/13/cve-2024-21413-ntlm-relay-attacks-against-microsoft-outlook", "https://learn.microsoft.com/en-us/windows-server/security/credentials-protection/extended-protection-for-authentication-overview" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">CVE-2024-21413: Microsoft Outlook RCEを可能にする認証バイパス脆弱性の技術解説と緩和策</h1> <h2 class="wp-block-heading">はじめに</h2> <p>2024年2月のPatch Tuesdayで公開されたCVE-2024-21413は、Microsoft Outlookにおける重要なセキュリティ機能バイパスの脆弱性です。この脆弱性は、攻撃者が特別に細工されたリンクを悪用することで、ユーザーのNTLM認証情報を窃取し、NTLMリレー攻撃を通じてリモートコード実行（RCE）に繋がる可能性があります。本記事では、この脆弱性の技術的詳細、脅威モデル、攻撃シナリオ、そして具体的な検出および緩和策について解説します。</p> <h2 class="wp-block-heading">脅威モデル</h2> <p>CVE-2024-21413は、主にフィッシング攻撃や標的型攻撃（APT）において利用される可能性が高いと評価されています。</p> <ol class="wp-block-list"> <li><p><strong>初期アクセス</strong>: 攻撃者は、悪意のあるリンクを含むメールを標的ユーザーに送信します。</p></li> <li><p><strong>認証情報窃取</strong>: ユーザーがメールをプレビューまたは開封するだけで、Outlookは脆弱なメカニズムを通じてNTLM認証情報を攻撃者の制御するサーバーに送信します。</p></li> <li><p><strong>権限昇格/横展開</strong>: 窃取したNTLM認証情報を利用し、攻撃者は内部ネットワーク内の他のサービス（例: ドメインコントローラー、ファイルサーバー）に対してNTLMリレー攻撃を実行し、ユーザーの権限で認証を確立します。これにより、リモートコード実行（RCE）、情報の窃取、あるいはネットワーク内の横展開が可能となります。</p></li> <li><p><strong>永続化</strong>: 権限昇格後、攻撃者はバックドアの設置や設定変更を通じて、システムの永続的な制御を確立する可能性があります。</p></li> </ol> <p>この脆弱性の深刻度は、Outlookのプレビューペインでも攻撃がトリガーされ得る点、およびユーザーのNTLMハッシュが漏洩し、NTLMリレー攻撃によってRCEに至る可能性がある点にあります。</p> <h2 class="wp-block-heading">攻撃シナリオ</h2> <p>攻撃は、特定の条件を満たすOutlookクライアントが細工されたリンクを処理する際に発生します。</p> <ol class="wp-block-list"> <li><p><strong>攻撃者の準備</strong>:</p> <ul> <li><p>攻撃者は、NTLM認証リクエストを傍受し、他のサービスに中継するためのサーバー（例: <code>Responder.py</code>などのツールを使用）を用意します。</p></li> <li><p>攻撃者は、<code>file://</code>プロトコルなどを用いたリダイレクトチェーンを含む、細工されたHTMLコンテンツを作成します。このコンテンツは、Outlookが信頼ゾーン外のコンテンツとして扱う「Mark-of-the-Web (MotW)」のセキュリティ機構をバイパスするように設計されます[2]。</p></li> </ul></li> <li><p><strong>フィッシングメールの送信</strong>:</p> <ul> <li>攻撃者は、細工されたHTMLコンテンツへのリンクを埋め込んだフィッシングメールを作成し、標的ユーザーに送信します。リンクは、信頼できるウェブサイトのように偽装されることがあります。</li> </ul></li> <li><p><strong>脆弱性のトリガー</strong>:</p> <ul> <li><p>標的ユーザーがOutlookでこのメールを受信し、プレビューペインで表示するか、メールを開封します。</p></li> <li><p>Outlookはメール内のHTMLコンテンツをレンダリングする際、MotWバイパスにより、細工された<code>file://</code>ベースのリンクを処理します。この処理の一環で、OutlookはWindowsのNTLM認証メカニズムを用いて、リンク先の（実際には攻撃者が制御する）サーバーに対して自動的に認証情報を送信しようとします[1, 3]。</p></li> </ul></li> <li><p><strong>NTLMハッシュの窃取とリレー</strong>:</p> <ul> <li><p>攻撃者のサーバーは、Outlookクライアントから送信されたNTLMハッシュ（NTLMチャレンジ/レスポンス）を受信します。</p></li> <li><p>攻撃者のサーバーは、このNTLMハッシュをリアルタイムで中継し、標的のサービス（例: Active DirectoryドメインコントローラーのLDAP/SMBサービス、他のサーバーのSMB共有など）に対して認証を試みます。</p></li> </ul></li> <li><p><strong>リモートコード実行 (RCE)</strong>:</p> <ul> <li>NTLMリレー攻撃が成功すると、攻撃者はユーザーの権限を借用して、標的サービス上で任意の操作（例: ファイルの読み書き、設定変更、プロセス実行など）を実行し、リモートコード実行に繋がります。</li> </ul></li> </ol> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|1. 細工したフィッシングメール送信| B["標的ユーザーのOutlook"] B -->|2. メールプレビュー/開封| C{"脆弱性トリガー:<br>Mark-of-the-Webバイパス"} C -->|3. NTLM認証要求送信| D["攻撃者サーバー (NTLMリレー)"] D -->|4. NTLMハッシュ中継| E["標的サービス (AD/SMB等)"] E -->|5. 認証成功| D D -->|6. RCE/情報窃取| E </pre></div> <h2 class="wp-block-heading">検出と緩和策</h2> <h3 class="wp-block-heading">検出</h3> <ol class="wp-block-list"> <li><p><strong>ネットワーク監視</strong>:</p> <ul> <li><p>異常なNTLM認証トラフィックを監視します。特に、内部ネットワークから外部へのNTLM認証要求や、通常とは異なるプロトコル（例: HTTP/HTTPS経由のSMB認証）での認証試行を検出します。</p></li> <li><p>SMB/LDAPトラフィックの監視で、不審な認証元IPアドレスやユーザーアカウントからの接続、成功したリレー攻撃後の不審なコマンド実行を特定します。</p></li> </ul></li> <li><p><strong>EDR (Endpoint Detection and Response) による監視</strong>:</p> <ul> <li><p>Outlookプロセスによる外部リソースへの不審なネットワーク接続を監視します。</p></li> <li><p>NTLMリレー攻撃が成功した後に、Outlookのコンテキストで予期しない子プロセスが生成されていないかを監視します。</p></li> </ul></li> <li><p><strong>SIEM (Security Information and Event Management) ログ分析</strong>:</p> <ul> <li>Windowsイベントログ（特にセキュリティログ、SMB/LDAPログ）を収集し、NTLM認証失敗/成功のパターン、異常なログオン活動、サービスアカウントの不審な利用などを分析します。</li> </ul></li> </ol> <h3 class="wp-block-heading">緩和策</h3> <p>最も重要な緩和策は、Microsoftが2024年2月13日（JSTでは2024年2月14日）に公開したセキュリティアップデートの適用です[1]。</p> <ol class="wp-block-list"> <li><p><strong>セキュリティアップデートの適用</strong>:</p> <ul> <li><p>Windows Updateを通じて、Microsoft Outlookを含むすべてのMicrosoft製品に最新のセキュリティパッチを適用します。これにより、CVE-2024-21413の脆弱性が修正されます。</p></li> <li><p><code>https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413</code> [1]</p></li> </ul></li> <li><p><strong>拡張保護認証 (EPA) の有効化</strong>:</p> <ul> <li><p>Windows Serverおよび関連サービス（Active Directory Certificate Services, IISなど）で拡張保護認証 (Extended Protection for Authentication: EPA) を有効化します。EPAは、認証リクエストのチャネルバインディング情報を追加することで、NTLMリレー攻撃を緩和します[4]。</p></li> <li><p><strong>誤用例 (EPA無効化)</strong>: EPAが無効化されている環境では、NTLM認証情報がリレーされた際に、サーバーはリレーされた認証が正当なクライアントからのものか判別できず、攻撃が成功しやすくなります。</p></li> <li><p><strong>安全な代替 (EPA有効化)</strong>:</p> <ul> <li><p>Active Directoryドメインコントローラーの場合、グループポリシーを通じてLDAPのチャネルバインディング（CBC）と署名要件を強化します。</p></li> <li><p>IISなどのWebサーバーでは、各アプリケーションプールまたはサイトでEPAを有効にします。 <div class="codehilite"> <pre data-enlighter-language="generic"># 例: Active Directory ドメインコントローラーでLDAPのExtended Protectionを有効にする (グループポリシー経由が一般的)</pre></div></p></li> </ul> <p><span class="c"># このPowerShellコマンドはドメインコントローラー上で手動で設定する際の一例であり、推奨はグループポリシー管理</span></p> <p><span class="c"># この設定は「LDAPServerIntegrity」を介して適用される</span></p> <p><span class="c"># (通常、グループポリシーオブジェクト (GPO) を使用してOU全体に適用される)</span></p> <p><span class="c"># GPOパス: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options</span></p> <p><span class="c"># 「Domain controller: LDAP server signing requirements」: Require Signing</span></p> <p><span class="c"># 「Domain controller: LDAP server channel binding token requirements」: Always</span></p> <p><span class="c"># レジストリ直接操作の例 (テスト目的、本番環境ではGPO推奨)</span></p> <p><span class="c"># サービス再起動が必要になる場合があるため注意</span></p> <p><span class="nb">Set-ItemProperty</span> <span class="n">-Path</span> <span class="s2">“HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters”</span> <span class="n">-Name</span> <span class="s2">“LDAPServerIntegrity”</span> <span class="n">-Value</span> <span class="n">2</span> <span class="n">-Force</span> <span class="nb">Set-ItemProperty</span> <span class="n">-Path</span> <span class="s2">“HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters”</span> <span class="n">-Name</span> <span class="s2">“LdapEnforceChannelBinding”</span> <span class="n">-Value</span> <span class="n">2</span> <span class="n">-Force</span></p> <p><span class="nb">Write-Host</span> <span class="s2">“LDAP server integrity and channel binding token requirements set to ‘Always’ (via registry). Reboot required for full effect.”</span> </p> <ul> <li><p><strong>入力</strong>: なし。</p></li> <li><p><strong>出力</strong>: レジストリ設定変更の確認メッセージ。</p></li> <li><p><strong>前提</strong>: 管理者権限で実行。Active Directoryドメインコントローラー環境。</p></li> <li><p><strong>計算量</strong>: O(1)</p></li> <li><p><strong>メモリ条件</strong>: 軽微</p></li> </ul></li> </ul></li> <li><p><strong>Outlookのセキュリティ設定強化</strong>:</p> <ul> <li><p>Outlookで外部コンテンツの自動ダウンロードをブロックする設定を強化します。<code>BlockHTTPImages</code>レジストリキーは、一部の外部コンテンツのロードを制限できます[5]。</p></li> <li><p><strong>誤用例</strong>: 外部コンテンツのロードが許可されている場合、悪意のあるHTMLコンテンツが自動的にレンダリングされ、脆弱性がトリガーされる可能性が高まります。</p></li> <li><p><strong>安全な代替</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Outlook 2016以降で外部コンテンツの自動ダウンロードをブロックする (全ユーザー対象) # HKEY_CURRENT_USERは現在のユーザーのみ、HKEY_LOCAL_MACHINEは全ユーザー # 0: すべて許可 (デフォルト) # 1: 信頼済みゾーン以外のコンテンツをブロック # 2: 信頼済みゾーン以外のコンテンツを完全にブロックし、プロンプトも表示しない (最も安全) $regPath = "HKCU:\Software\Microsoft\Office\16.0\Outlook\Options\Mail" $regName = "BlockExternalContent" $regValue = 2 # 2024年2月14日の更新で、この脆弱性対策にはこれが有効とされる if (!(Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } Set-ItemProperty -Path $regPath -Name $regName -Value $regValue -Force Write-Host "Outlook BlockExternalContent set to $regValue for current user." # さらに、HTMLメール内のHTTP/HTTPS画像以外のファイルプロトコルをブロックする設定 (CVE-2024-21413の直接的な緩和策) # このキーは直接の回避策ではないが、広範なセキュリティ対策として有効 $regPath2 = "HKCU:\Software\Policies\Microsoft\Office\16.0\Outlook\Options\Mail" $regName2 = "BlockHTTPImages" $regValue2 = 1 # 1でブロックを有効化 if (!(Test-Path $regPath2)) { New-Item -Path $regPath2 -Force | Out-Null } Set-ItemProperty -Path $regPath2 -Name $regName2 -Value $regValue2 -Force Write-Host "Outlook BlockHTTPImages set to $regValue2 for current user." </pre> </div> <ul> <li><p><strong>入力</strong>: なし。</p></li> <li><p><strong>出力</strong>: レジストリ設定変更の確認メッセージ。</p></li> <li><p><strong>前提</strong>: 管理者権限で実行（HKEY_LOCAL_MACHINEの場合）。現在のユーザーに対する設定のため、適用対象ユーザーで実行する必要がある。</p></li> <li><p><strong>計算量</strong>: O(1)</p></li> <li><p><strong>メモリ条件</strong>: 軽微</p></li> </ul></li> </ul></li> </ol> <h2 class="wp-block-heading">運用対策</h2> <h3 class="wp-block-heading">鍵/秘匿情報の取り扱いとローテーション</h3> <ul class="wp-block-list"> <li><p><strong>NTLMハッシュの保護</strong>: NTLMハッシュはパスワードそのものではないものの、NTLMリレー攻撃によってパスワードに準ずる機微情報として悪用され得ます。ドメインコントローラーへの直接的なパッチ適用とEPAの有効化は、NTLMハッシュの漏洩とリレー攻撃を防ぐ上で不可欠です。</p></li> <li><p><strong>アカウントの最小権限</strong>: ユーザーアカウントやサービスアカウントには、業務遂行に必要な最小限の権限のみを付与します。NTLMリレー攻撃が成功しても、攻撃者の活動範囲を限定できます。特に、ドメイン管理者権限を持つアカウントがメールクライアントを使用することは避けるべきです。</p></li> <li><p><strong>パスワードローテーション</strong>: 定期的なパスワード変更（特にドメインコントローラーや特権アカウントの場合）は、NTLMハッシュの再利用攻撃に対するリスクを低減しますが、NTLMリレー攻撃に対しては限定的です。多要素認証（MFA）の導入は、NTLMハッシュの漏洩後の権限昇格を困難にする有効な手段です（ただし、NTLMリレー攻撃そのものを直接防ぐものではありません）。</p></li> </ul> <h3 class="wp-block-heading">監査と監視</h3> <ul class="wp-block-list"> <li><p><strong>ログの定期的なレビュー</strong>: Windowsセキュリティイベントログ、アプリケーションログ、ネットワークデバイスログを定期的にレビューし、不審な認証試行やサービスアクセスを検出します。特に、LDAP、SMBなどの認証プロトコルに関連するログは重要です。</p></li> <li><p><strong>SIEMとの連携</strong>: すべての関連ログをSIEMに集約し、相関分析や異常検知ルールを設定することで、迅速な脅威特定と対応が可能になります。</p></li> </ul> <h3 class="wp-block-heading">現場の落とし穴</h3> <ul class="wp-block-list"> <li><p><strong>誤検知/検出遅延</strong>: NTLMリレー攻撃は、正規の認証プロセスに偽装して行われるため、検出が難しい場合があります。通常のトラフィックとの差異を特定するための高度なベースライン設定と振る舞い分析が必要です。</p></li> <li><p><strong>可用性とのトレードオフ</strong>: Outlookの外部コンテンツブロック設定を厳しくしすぎると、正当なメール内の画像やリソースが表示されなくなるなど、ユーザーエクスペリエンスや業務の可用性に影響を与える可能性があります。セキュリティと利便性のバランスを考慮した設定が必要です。</p></li> <li><p><strong>パッチ適用の遅延</strong>: 最新のセキュリティパッチがリリースされても、テストや展開の遅延により、システムが脆弱なまま放置されることがあります。計画的なパッチ管理プロセスと緊急パッチ適用手順の確立が重要です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>CVE-2024-21413は、Microsoft Outlookのセキュリティ機能バイパス脆弱性であり、NTLMリレー攻撃を通じてリモートコード実行に繋がる深刻な脅威です。2024年2月14日に公開されたセキュリティアップデートの速やかな適用が最も重要です[1]。加えて、Active Directory環境での拡張保護認証 (EPA) の有効化[4]、Outlookの外部コンテンツブロック設定の強化[5]、最小権限の原則の徹底、そして厳格なログ監視と多要素認証の導入による多層防御が不可欠です。これらの対策を組み合わせることで、NTLMリレー攻撃による潜在的な被害を大幅に軽減することができます。</p> <hr/> <p><strong>参照情報（JST）:</strong></p> <p>[1] Microsoft Security Response Center. (2024-02-14). <em>CVE-2024-21413 — Microsoft Outlook Security Feature Bypass Vulnerability</em>. <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413">https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413</a> [2] Trellix Research. (2024-02-14). <em>CVE-2024-21413: From Mark-of-the-Web to NTLM Leak and RCE</em>. <a href="https://www.trellix.com/blogs/research/cve-2024-21413-microsoft-outlook-rce-vulnerability/">https://www.trellix.com/blogs/research/cve-2024-21413-microsoft-outlook-rce-vulnerability/</a> [3] Zero Day Initiative. (2024-02-14). <em>CVE-2024-21413: NTLM Relay Attacks Against Microsoft Outlook</em>. <a href="https://www.zerodayinitiative.com/blog/2024/2/13/cve-2024-21413-ntlm-relay-attacks-against-microsoft-outlook">https://www.zerodayinitiative.com/blog/2024/2/13/cve-2024-21413-ntlm-relay-attacks-against-microsoft-outlook</a> [4] Microsoft Learn. (2024-01-05). <em>Extended Protection for Authentication Overview</em>. <a href="https://learn.microsoft.com/en-us/windows-server/security/credentials-protection/extended-protection-for-authentication-overview">https://learn.microsoft.com/en-us/windows-server/security/credentials-protection/extended-protection-for-authentication-overview</a> [5] Microsoft Learn. (2023-11-20). <em>How to block HTTP images and external content in Outlook</em>. <a href="https://learn.microsoft.com/en-us/outlook/troubleshoot/message-body/block-http-images-and-external-content">https://learn.microsoft.com/en-us/outlook/troubleshoot/message-body/block-http-images-and-external-content</a></p>

graph TD
    A["攻撃者"] -->|1. 細工したフィッシングメール送信| B["標的ユーザーのOutlook"]
    B -->|2. メールプレビュー/開封| C{"脆弱性トリガー:
Mark-of-the-Webバイパス"}
    C -->|3. NTLM認証要求送信| D["攻撃者サーバー (NTLMリレー)"]
    D -->|4. NTLMハッシュ中継| E["標的サービス (AD/SMB等)"]
    E -->|5. 認証成功| D
    D -->|6. RCE/情報窃取| E