⚠️ 概要
CVSSスコア 9.8・緊急対応が必要です。
ドメインコントローラーを対象とした未認証リモートコード実行(RCE)脆弱性です。
悪用が野外(in-the-wild)で確認されており、ベルギー国家サイバーセキュリティセンター(CCB)が緊急警告を発令しています。
まだパッチ未適用の場合は今すぐ対応してください。
この脆弱性について
| 項目 | 内容 |
|---|---|
| CVE-ID | CVE-2026-41089 |
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-121(スタックベースのバッファオーバーフロー) |
| 対象ソフトウェア | Windows Server 2016 / 2019 / 2022 / 2025(全サポートバージョン) |
| 公開日 | 2026年5月12日(Microsoft 5月 Patch Tuesday) |
| 悪用状況 | 野外での悪用を確認(2026年6月1日時点) |
| パッチ | あり(2026年5月 Patch Tuesday で提供済み) |
Microsoftの Windows Attack Research & Protection(WARP)チームが発見し、2026年5月12日のPatch Tuesdayで公開・修正されました。
発見当初は「悪用可能性が低い」と評価されていましたが、AI支援による解析や公開されたPoC(概念実証コード)によって想定より早く実際の攻撃が始まり、6月1日にベルギーCCBが緊急警告を発令しました。
原因
Windows Netlogon(MS-NRPC:Netlogon Remote Protocol)はドメイン環境における認証・信頼関係の管理を担うサービスです。
この脆弱性の根本原因は、Netlogonがネットワークリクエストを処理する際の スタックバッファオーバーフロー です。
攻撃者が特殊に細工したNetlogonリクエストパケットを送り込むと、スタック上の入力バッファを溢れさせ、リターンアドレスや隣接データを上書きすることができます。
[攻撃者] ──── 細工されたNetlogonパケット ──→ [ドメインコントローラー]
│
┌──────┴──────┐
│ Netlogonサービス │
│ スタックバッファ │
│ ← オーバーフロー │
└──────┬──────┘
│
SYSTEMとして任意コード実行
重要な点として、このRCEはユーザー操作不要(UI:N)・認証不要(AV:N) で成立します。
Netlogonはドメインコントローラー上でデフォルトで有効なサービスであり、通常はネットワーク内のすべてのドメインメンバーからポート135(RPC)経由でアクセス可能です。
つまり、内部ネットワークに侵入した攻撃者にとって ドメインコントローラーの完全掌握への最短ルート になります。
影響範囲
影響を受ける環境
- Windows Server 2016(全エディション)
- Windows Server 2019(全エディション)
- Windows Server 2022(全エディション)
- Windows Server 2025(全エディション)
- レガシー版:Windows Server 2008 R2、2012、2012 R2(延長サポート終了済みだが実際に利用されているケースあり)
ドメインコントローラーとして構成されているサーバーが主な標的ですが、Netlogonはメンバーサーバーでも動作しているため注意が必要です。
攻撃が成立する条件
- 攻撃者がNetlogon(TCPポート135 / RPC動的ポート)へネットワーク到達できること
- ドメインコントローラーにパッチが未適用であること
認証は一切不要です。ドメインアカウントもローカルアカウントも必要ありません。
悪用された場合のリスク
成功した攻撃者はドメインコントローラー上で SYSTEM権限での任意コード実行 を得ます。
これはActive Directoryフォレスト全体の完全掌握を意味し、以下のような被害につながります。
- 全ドメインアカウントのパスワードハッシュ窃取(ntds.dit ダンプ)
- Golden Ticket / Silver Ticket によるKerberos認証の恒久的乗っ取り
- フォレスト内の全サーバー・クライアントへの横断的侵害
Automox CTOのJason Kiktaはこう述べています:「すでに内部に侵入された後であれば、CVE-2026-41089はフォレスト全体の制圧への近道になる」
対応策・回避策
1. 優先対応:パッチの適用(強く推奨)
すべてのドメインコントローラーに同じメンテナンスウィンドウ内でパッチを適用してください。
「半分だけパッチ済みのフォレスト」は安全な状態ではありません。
| Windows Server バージョン | 適用するKB番号 |
|---|---|
| Windows Server 2025 | KB5058385 |
| Windows Server 2022 | KB5058411 |
| Windows Server 2019 | 2026年5月累積更新(KB番号は Windows Update で確認) |
| Windows Server 2016 | 2026年5月累積更新(KB番号は Windows Update で確認) |
# パッチ適用状況の確認(PowerShell)
Get-HotFix | Where-Object { $_.HotFixID -match "KB5058385|KB5058411" } | Select-Object HotFixID, InstalledOn
# Windows Update の実行(PowerShellから)
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
レガシーバージョン(Windows Server 2008 R2 / 2012 / 2012 R2)
公式サポートは終了していますが、Acros Securityが 0patch によるマイクロパッチを提供しています。
2. ネットワーク層での緩和策
パッチ適用までの暫定措置として、Netlogonトラフィックの到達経路を制限します。
# Windows Firewall でNetlogonへのアクセスを内部DCのみに制限する例
# ※ 実際のDC IPレンジに合わせて調整してください
New-NetFirewallRule `
-DisplayName "Block Netlogon from non-DC" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 135 `
-RemoteAddress "0.0.0.0/0" `
-Action Block
# DCのIPアドレス帯のみ許可する場合
New-NetFirewallRule `
-DisplayName "Allow Netlogon from DC subnet" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 135 `
-RemoteAddress "192.168.1.0/24" ` # ← 実際のDCサブネットに変更
-Action Allow
⚠️ ネットワーク制限は緩和策であり、パッチ適用の代替にはなりません。パッチを優先適用してください。
確認方法
自分の環境が影響を受けるかを確認する手順です。
# ドメインコントローラーの一覧を取得
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem, OperatingSystemVersion
# 各DCにKBが適用済みか確認(リモートで実行)
$DCs = (Get-ADDomainController -Filter *).Name
foreach ($dc in $DCs) {
$patch = Get-HotFix -ComputerName $dc -Id "KB5058385","KB5058411" -ErrorAction SilentlyContinue
if ($patch) {
Write-Host "[OK] $dc : パッチ適用済み ($($patch.HotFixID))"
} else {
Write-Host "[!!] $dc : パッチ未適用 — 緊急対応が必要です"
}
}
悪用兆候の確認
以下のイベントや状態は、本脆弱性の悪用を示唆する可能性があります。
# Netlogonサービスの異常な再起動を確認
Get-EventLog -LogName System -Source "Service Control Manager" |
Where-Object { $_.Message -like "*Netlogon*" -and $_.EventID -eq 7036 } |
Select-Object TimeGenerated, Message
# セキュリティイベントログで不審な認証エラーを確認
Get-EventLog -LogName Security -InstanceId 4625 -Newest 100 |
Select-Object TimeGenerated, ReplacementStrings |
Where-Object { $_.ReplacementStrings[10] -like "*0xC000006D*" }
まとめ
CVE-2026-41089は、Zerologon(CVE-2020-1472)に匹敵するレベルのNetlogon脆弱性であり、ドメインコントローラーへの未認証RCEを可能にします。
すでに野外での悪用が確認されており、対応を先延ばしにするリスクは極めて高いです。
Server 2025 は KB5058385、Server 2022 は KB5058411 を最優先で適用してください。
全DCへの同時適用がベストプラクティスです。
パッチ適用前の暫定措置としては、ファイアウォールでNetlogon(TCP 135)へのアクセスをDCサブネットのみに制限することを検討してください。
参考リンク
- NVD:https://nvd.nist.gov/vuln/detail/cve-2026-41089
- Microsoft MSRC:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41089
- Help Net Security(悪用確認レポート):https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/
- 0patch(レガシーサーバー向けマイクロパッチ):https://0patch.com/blog/micropatches-released-for-windows-netlogon-remote-code-execution-vulnerability-cv
コメント