概要

ベルギーのサイバーセキュリティ機関(Centre for Cybersecurity Belgium:CCB)は2026年6月1日、Windows NetlogonサービスのRCE(リモートコード実行)脆弱性CVE-2026-41089が実際の攻撃で積極的に悪用されていることを確認した。CVSSスコアは9.8(Critical)であり、管理者に対して「できる限り早急にパッチを適用するよう」緊急勧告を発した。本脆弱性はMicrosoftが2026年5月12日のパッチチューズデーで修正済みだが、いまだ多数の未パッチサーバが攻撃対象となっている。

脆弱性の技術的詳細

CVE-2026-41089はWindows NetlogonのRPCインターフェースに存在するスタックベースのバッファオーバーフロー脆弱性で、Microsoftの社内チーム「Windows Attack Research & Protection(WARP)」によって発見された。攻撃者はドメインコントローラとして機能するWindowsサーバに対して特別に細工したネットワークリクエストを送信するだけで、認証なし・事前アクセスなしでリモートコード実行が可能となる。影響範囲はWindows Server 2025を含む現在サポートされているすべてのWindows Serverバージョンに及ぶ。

Netlogonはドメイン認証の中核を担うサービスであるため、ドメインコントローラを掌握された場合のリスクは極めて高い。セキュリティ研究者やAI企業が公開されたパッチをリバースエンジニアリングし、概念実証(PoC)コードを公開したことが悪用の加速につながったとみられる。

推奨される対策

各機関は以下の対策を優先して実施するよう推奨している。

  • パッチ適用:すべてのドメインコントローラに5月のパッチチューズデー修正を適用する。複数のDCがある環境では同一メンテナンスウィンドウ内での一括適用が望ましい。
  • ネットワーク制限:ネットワーク層でNetlogon RPC(TCPポート135など)へのアクセスを必要な範囲に制限し、外部からの不審なNetlogonトラフィックをブロックする。
  • 監視強化:Netlogonサービスの予期しないクラッシュや異常なトラフィックパターンを継続的に監視する。
  • 管理セッションへのMFA適用:管理者アカウントへの多要素認証(MFA)を必須化し、横展開のリスクを低減する。

なお、Acros Securityはレガシーサーバ向けにマイクロパッチを提供しており、正規パッチ適用が困難な環境向けの緩和策として活用できる。

今後の展望

PoCコードが公開されている以上、攻撃は今後さらに増加することが見込まれる。ドメインコントローラは組織のActive Directory環境全体の要であり、侵害された場合の被害は全資産に波及しかねない。サポート対象のWindowsサーバへのパッチ適用が最優先事項であり、未パッチ環境はランサムウェアや標的型攻撃に対して深刻なリスクを抱えていると言える。