はじめに
2025年9月のセキュリティ更新(Patch Tuesday)により、Kerberos認証におけるDES暗号方式がWindowsから完全に削除されました。
これにより、古いサーバーやNAS、プリンタなどを利用している環境で「ログオンできない」「ネットワーク共有に接続できない」といったトラブルが発生しています。
「DESって何?」「なぜ急にエラーが出たの?」という方も多いでしょう。この記事では、KerberosとDESの基礎から、今回の変更の背景、発生し得るトラブル、解決策までを詳しく解説します。
Kerberos認証とは?
Kerberos(ケルベロス)は、Windowsを含む多くのシステムで使われているネットワーク認証プロトコルです。
簡単に言えば、「ユーザーが正しい本人かどうか」を確認するための仕組みです。
- Active Directory ドメイン環境でユーザーがログオンするとき
- サーバーやファイル共有にアクセスするとき
- プリンタやアプリに接続するとき
こうした場面でKerberosは「チケット」と呼ばれる仕組みを使って、安全に本人確認を行います。
DES暗号方式とは?
DES(Data Encryption Standard)は1970年代に制定された古い暗号方式です。
かつては標準的な方式でしたが、鍵の長さが56ビットと短く、現在では計算機の力で簡単に解読可能とされ、セキュリティ的に不十分です。
そのためMicrosoftは以前から以下の方針を出していました:
- Windows 10/11でDESは既定で無効化
- 管理者が必要に応じて再有効化可能
- 最終的に「完全削除」する予定
そして2025年9月の更新で、ついにレジストリやグループポリシーで有効化する手段も廃止されました。
AESへの移行が必須に
現在はAES(Advanced Encryption Standard)が標準の暗号方式です。
AESは128ビットや256ビットといった十分に長い鍵長を持ち、現行のセキュリティ基準でも安全とされています。
つまり今後は、Kerberosを使うシステムはAES対応が必須になります。
DESしか使えない古い機器やアプリは、今回の変更で認証できなくなります。
影響を受ける可能性のある環境
今回の変更で特に影響を受けやすいのは、以下のような環境です。
- 古いWindows Server(2003 / 2008世代)
→ DESを前提としたドメイン参加や認証設定が残っている場合、ログオン不可。 - 古いNASやプリンタ
→ 一部の業務用NASや複合機は、Kerberos認証にDESのみ対応している。 - 古いUNIX / Linux システム
→ Kerberos連携がDES依存の場合に通信エラー。 - Active Directoryと連携したレガシーアプリ
→ アプリ内部でDESを利用していると、ドメイン認証が失敗する。
スポンサーリンク
AES対応NASへの移行 & まずはバックアップ
- 🗄️ Synology/QNAPなど AES対応NAS
旧機からの移行で、認証エラーと脆弱な暗号の課題を一気に解消。 - 💾 外付けSSD(高速バックアップ)
障害や認証不能でも業務停止を防ぐ「まず1台」の保険。
実際に出るエラーメッセージの例
ユーザーや管理者から報告されている代表的なエラーメッセージは以下です:
- ログオン画面で「ユーザー名またはパスワードが正しくありません」と表示
- イベントログに「KDC_ERR_ETYPE_NOTSUPP(サポートされない暗号方式)」
- エラーコード「0xc000006a」が出る
- ネットワーク共有やプリンタ接続で「認証に失敗しました」
いずれも「パスワードが間違っている」と勘違いしやすいですが、実際は暗号方式が廃止されたことによる認証失敗です。
対処法
残念ながら、今回の更新でDESを再び有効にする方法はありません。
(過去はレジストリ設定で可能でしたが、それも削除済みです)
解決するには、以下のいずれかが必要になります。
- 機器やアプリを更新する
- AES対応の新しいNASやプリンタに買い替え
- アプリを最新版にアップデート
- ドライバやファームウェアを確認する
- メーカーがAES対応のアップデートを出していれば適用する
- 代替手段を検討する
- SMB認証をKerberosではなくNTLMに切り替える(推奨度は低い)
- 一時的にローカルアカウントを使う
Windows UpdateでDES暗号方式が削除されたことによる認証エラーは、単純に「古い設定を直せば解決する」というレベルではないのが厄介な点です。特に、Windows ServerやActive Directoryを利用している環境では、認証にDESを前提とした古いKerberosチケットが使われていると、ログオンそのものが失敗するケースもあります。
そのため「一部のアプリが動かない」ではなく、ドメイン全体が影響を受ける可能性がある重大な問題です。影響範囲を見極めるには、イベントビューアーのセキュリティログや、Kerberos認証関連の警告(イベントID 4768/4769/4771 など)を確認してみましょう。そこに「暗号化方式がサポートされていない」という記録があれば、DES依存の証拠となります。
スポンサーリンク
ネットワークもAES基準へ
- 🛡️ AES対応ルーター / VPN機器
拠点間通信やリモートアクセスの暗号化を現行標準へ。 - 🖨️ 業務用プリンタ(ドメイン連携対応)
古い認証方式に依存しないモデルへ置き換え。
今後の備え
今回の件は、「古い仕組みを放置していると突然使えなくなる」という典型例です。
今後も以下のような古い暗号方式やプロトコルは順次廃止される可能性が高いです。
- TLS 1.0 / 1.1
- NTLM(すでに廃止方針が公表済み)
- SMB v1
システムや機器を運用している方は、最新の暗号方式に対応しているかを定期的に確認し、必要に応じて更新計画を立てておきましょう。
🔎 裏情報
「KerberosのDES削除」 に関して、ちょっとした「裏情報」「現場で役立つ小ネタ」を以下に補足しておきます。
※あくまでも自己責任でお願いします。
1. 「まだ残っている」環境を探すログ
イベントビューアーだけでなく、PowerShellで以下を使うと便利です:
klist sessionsここに etype 3 (DES-CBC-MD5) などが混じっていれば、まだDESが使われている証拠です。
👉 一見「普通に動いている」環境でも、裏で古いサービスがDESを要求していることがあります。
2. プリンタやNASが“犯人”のことが多い
意外に盲点なのが 古いプリンタ・NAS・複合機。
・ドメインに参加しているがメーカーサポートは既に終了
・ファームウェア更新が提供されない
こうした機材はDES固定のまま動いているケースが多く、Kerberos認証が突然拒否される原因になりがちです。
3. AES未対応アプリの“強制TLS逃げ”
一部ベンダーは「AES非対応でも、Kerberos認証をスキップしてTLS通信に逃げる」という裏仕様を持つことがあります。
👉 例えば古い社内Webアプリが「突然Kerberosで失敗するが、ブラウザでBasic認証にフォールバックして生き延びる」ケース。セキュリティ的には良くないですが、短期回避には役立つことも。
4. グループポリシーで「AES限定」に切り替える
Windowsのローカルセキュリティポリシー(セキュリティオプション → ネットワークセキュリティ: Kerberos の暗号化の種類を構成する)でAES128/256だけを有効にすると、強制的にDES利用を検知できます。
👉 隠れた依存環境を洗い出す“踏み絵設定”として有効。
5. レジストリでの「延命ハック」
一部の海外フォーラムでは「レジストリで強制的にDESを再度有効化する方法」が出回っています。
ただしこれは セキュリティリスクが極めて高い ため、記事では「自己責任の非推奨ワザ」として触れる程度がよいです。むしろ「そういう裏技もあるけど危険」と注意喚起に使えます。
まとめ
KerberosのDES削除は、多くの一般ユーザーにとっては「気づかないうちに過ぎていく変更」ですが、古いNASや業務用プリンタ、レガシーサーバーを使い続けている環境では、ある日突然ログインできなくなる深刻なトラブルを引き起こします。
- 2025年9月のWindows Updateで、KerberosにおけるDES暗号が完全削除された
- 古いサーバーやNAS、プリンタ、アプリで認証エラーが発生する可能性あり
- 代表的なエラーは「KDC_ERR_ETYPE_NOTSUPP」「0xc000006a」など
- 解決策は AES対応環境への移行 ― DESを使い続ける方法はもうない
- 今回の件は「古い仕組みを早めに見直す必要性」を示す教訓
今後もWindowsはAESなど新しい暗号方式を中心に進化していくため、「古い機材を延命するか」「安全性を優先して更新するか」 を早めに検討しておくことが重要です。大切なのは、トラブルが起きてから慌てるのではなく、今のうちに移行計画を立てておくこと。これが2025年以降のWindows環境を安定運用するための最善の備えといえるでしょう。
おすすめ関連記事
・【注意喚起】Googleアカウントが危険な状態?乗っ取り・カード情報漏洩のリスクと対策まとめ|
・MicrosoftアカウントでRDPに接続できないときの対処法|
