Windows 11やWindows Server 2025でKerberosおよびNTLM認証の障害 対策は？：セキュリティニュースアラート

Microsoftは、2025年8月29日以降の更新により、重複SIDを持つWindows 11およびServer 2025環境でKerberos・NTLM認証障害が発生することを報告した。SID検証強化により意図的な不正防止が進んだが、問題も発生している。

[後藤大地，ITmedia]

　Microsoftは2025年10月21日（現地時間、以下同）、「Windows 11」および「Windows Server 2025」におけるKerberosおよびNTLM認証の障害を報告した。この障害は2025年8月29日以降に提供した更新プログラムを適用した環境で確認されており、デバイス間でセキュリティ識別子（SID）が重複している場合に発生する。

SID重複がもたらす認証障害　一時的な回避策は？

　この問題は、2025年8月29日に公開した「KB5064081」（OSビルド26100.5074）および同年9月9日に公開した「KB5065426」（OSビルド26100.6584）のインストール後に発生する可能性がある。対象は「Windows 11 バージョン24H2」および「25H2」「Windows Server 2025」の全てのエディションとされている。

　障害の症状は多岐にわたる。ユーザーが認証情報を正しく入力しても繰り返し資格情報の入力を求められるケースや「Login attempt failed」「Your credentials didn’t work」などのメッセージが表示される事例が報告されている。

　共有フォルダへのアクセスがIPアドレスやホスト名経由でできなくなったり、リモートデスクトップ接続が確立できなくなったりする事例も確認されている。これにはPrivileged Access Management（PAM）ソリューションや他社製ツール経由のRDP接続も含まれる。フェイルオーバークラスタリング環境では「access denied」エラーが発生し、可用性構成の運用に支障を来すケースもある。

　イベントビューアーには、セキュリティログ内に「SEC_E_NO_CREDENTIALS」エラーが記録されることがあり、システムログには「Local Security Authority Server Service（lsasrv.dll）」によるイベントID 6167が表示される。このイベントには「There is a partial mismatch in the machine ID」というメッセージが含まれており、チケットが改変されているか、別の起動セッションに属している可能性を示す。

　Microsoftは原因について、2025年8月29日以降に配信された更新プログラムにおいてSIDの検証を強化する設計変更を実施した結果、重複SIDを持つデバイス間で認証が失敗するようになったと説明している。この仕様変更は、認証ハンドシェイク時にSIDの一意性を厳密に確認するもので、意図的な不正アクセス防止を目的としている。

　重複SIDは、「Sysprep」ツールを使用せずにWindowsイメージを複製した場合など、非推奨の方法でクローンを作成した際に生成されることがある。Sysprepは各システムに固有のSIDを割り当てるための公式手段であり、Microsoftは以前から複製時の使用を求めてきた。今回の更新において、SIDの一意性検証が強制され、重複SID環境では認証がブロックされるようになった。

　問題の恒久的な解決には、影響を受けるデバイスを再構築し、サポートされている手順に基づいてWindowsインストールを複製し直す必要がある。Microsoftは、適切な方法で複製することでSIDの一意性が保証されると説明している。一時的な対応策として、Microsoftサポートを通じて提供される特別なグループポリシーを適用し、認証障害を一時的に回避する方法も案内されている。