【要点】

◎Microsoftは長年脆弱性が指摘されてきたRC4を、Kerberoasting被害などを受けて廃止し、Windows認証をより強固なAESへ移行する。

【要約】

Microsoftは、Windowsで26年間デフォルト利用されてきた暗号方式RC4を廃止すると発表した。RC4は高速で普及した一方、saltを用いない設計などから解読が容易で、Kerberoasting攻撃に悪用されてきた。2024年には医療機関Ascensionで約560万人分の患者データ流出が発生し、政治的批判も高まった。これを受け、Microsoftは2026年半ばまでにWindows Server 2008以降のドメインコントローラーでRC4を無効化し、約1000倍安全とされるAESを標準暗号とする。長年の互換性課題を解消し、認証基盤の安全性向上を図る狙いである。

【ニュース】

◆Microsoftが26年間にわたってデフォルトでサポートしてきた暗号化方式「RC4」を廃止した理由とは？ (Gigazine, 2025/12/29 15:00)
https://gigazine.net/news/20251229-microsoft-kill-rc4/