Windows Kerberos リレー攻撃の危険性:DNS CNAME ポイズニングの PoC エクスプロイトが登場

New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released

2026/01/19 CyberSecurityNews — Windows Kerberos 認証に存在する深刻な脆弱性 CVE-2026-20929 により、Active Directory 環境における資格情報リレー攻撃にさらされる領域が大幅に拡大している。Windows クライアントが Kerberos サービス・チケットをリクエストするときの、DNS CNAME レスポンス処理の方法を悪用する攻撃者は、自身が制御するサービス向けのチケット・リクエストをシステムに対して強制し、従来の防御策を回避することが可能になる。

攻撃ベクター

この脆弱性の中核は、Windows クライアントの基本的な挙動にある。Windows クライアントは DNS CNAME レコードを受信するとエイリアスを追跡し、その CNAME ホスト名を Service Principal Name (SPN) として使用し、Ticket Granting Service (TGS) リクエストを構築する。

Abuse flow chart
Abuse flow chart (Source: Cymulate)

DNS トラフィックの傍受が可能な位置にいる攻撃者は、この挙動を悪用することで、攻撃者が制御するサービス向けのチケットを、被害者にリクエストさせることが可能になる。ただし、この手法を成立させるには、攻撃者が ARP ポイズニング/DHCPv6 ポイズニング (mitm6) などの手法により、DNS の中間者攻撃 (Man-in-the-Middle) の体制を確立する必要がある。

The victim is redirected to the attacker’s server, which responds with 401 to force Kerberos authentication.
The victim is redirected to the attacker’s server, which responds with 401 to force Kerberos authentication. (Source: Cymulate)

被害者が正規のドメイン・リソースへアクセスしようとすると、攻撃者が制御するホスト名を指す CNAME レコードと、攻撃者の IP アドレスへ解決される A レコードが、悪意の DNS サーバに対して返される。その結果、攻撃者が指定したサービス向けのチケットを用いた認証が、攻撃者のインフラに対して試行されてしまう。

攻撃能力と影響
Impact AreaDescription
RCERemote code execution via ADCS Web Enrollment (ESC8)
Relay AttacksCross-protocol relays (HTTP→SMB, HTTP→LDAP)
Lateral MovementUnauthorized access and network spread
ImpersonationUser impersonation without passwords

テストの結果として確認されたのは、Windows 10/Windows 11/Windows Server 2022/Windows Server 2025 のデフォルト・コンフィグで、この攻撃が成立することだ。署名または Channel Binding Tokens (CBT) が強制されていない場合に、SMB/HTTP/LDAP などの未保護サービスに対する攻撃が成功してしまう。

この脆弱性は、2025年10月の時点で Microsoft に対して責任ある形で開示された。

これに対して Microsoft は、HTTP.sys における CBT サポートを強化し、2026年1月のセキュリティ更新として CVE-2026-20929 に対応するパッチを、サポート対象の Windows Server 全バージョンに提供した。しかし、この緩和策は HTTP リレー・シナリオに限定されたものであり、基盤となる DNS CNAME 強制プリミティブ自体は変更されていない。そのため、他のプロトコルは依然として脆弱な状態にある。

PoC エクスプロイト

CNAME ポイズニング機能を追加した MITM6 ツールの改変版が、研究者たちにより GitHub 上で公開された。このツールは、特定ドメインまたは全 DNS クエリに対する、ターゲット型 CNAME ポイズニングをサポートする。

A record for adcs-server.mycorp.local pointing to the attacker’s IP 
A record for adcs-server.mycorp.local pointing to the attacker’s IP  (Source: Cymulate)

ARP ポイズニングと統合可能な DNS 専用モードを備え、重要インフラ接続向けのパススルー機能も有効化できる。この悪用の実証には、Python 3.x および Linux オペレーティング・システムが必要である。 Cymulate Research Labs は、組織に対し多層防御の実装を推奨している。

Security LayerRecommended ControlPurpose
SMB SecurityEnforce SMB signing on all servers beyond domain controllersPrevents SMB relay and man-in-the-middle attacks
Directory ServicesRequire LDAP signing and enforce LDAPS Channel Binding Tokens (CBT) where supportedProtects against LDAP relay and credential interception
Web ServicesMandate HTTPS with CBT for all internal HTTP servicesMitigates NTLM relay attacks over HTTP
DNS InfrastructureHarden DNS servers and consider DNS over HTTPS (DoH)Reduces DNS spoofing and traffic manipulation risks
Kerberos MonitoringMonitor anomalous TGS requests targeting unusual SPNsDetects potential Kerberos abuse or lateral movement
Threat DetectionAlert on cross-protocol authentication patternsIdentifies NTLM/Kerberos relay and protocol abuse attempts

この調査が浮き彫りにするのは、重要なセキュリティ・プロトコルに存在する深刻な問題である。Kerberos 自体は、本質的にリレー攻撃を防止する仕組みを持たず、防御の強制は各サービス・レベルに委ねられている。

After DNS poisoning, the victim connects to the attacker’s rogue HTTP or SMB server.
After DNS poisoning, the victim connects to the attacker’s rogue HTTP or SMB server.(Source: Cymulate)

NTLM を無効化するだけでは不十分である。Kerberos 対応サービス全体に対し、明示的なリレー防止対策を実施しなければ、リレー・リスクの効果的な排除は不可能である。

Windows の認証に用いられる Kerberos プロトコルに、Active Directory 環境の乗っ取りに至る可能性のある深刻な脆弱性が見つかりました。この問題の原因は、Windowsが通信相手を確認する際に、名前の “別名” を指定する DNS CNAME レコードを無条件に信じてしまう仕組みにあります。攻撃者がネットワーク内で偽の DNS 情報を流すと、それを受け取ったコンピュータは、本物のサーバではなく攻撃者が用意した偽のサーバを通信相手だと思い込んでしまいます。

さらに、Windows は攻撃者のサーバで使うための “認証チケット” を自動的に作成して送ってしまうため、結果としてパスワードなしでシステムにログインされ、特権が奪われる、リレー攻撃が成功してしまいます。この脆弱性は CVE-2026-20929 として報告されており、2026年1月の Patch Tuesday で対策されましたが、根本的な DNS の仕組みは変わっていないため、SMB 署名の強制や LDAP 署名の有効化といった複数の防御策を組み合わせて、チケットの悪用を防ぐ必要があります。よろしければ、Kerberos での検索結果を、ご参照ください。