Active Directory の脆弱性 CVE-2026-33826 が FIX:隣接ネットワーク経由での RCE

Windows Active Directory Flaw Opens Door to Malicious Code Execution

2026/04/15 gbhackers — Microsoft が明らかにしたのは、Windows Active Directory 内に存在するクリティカルなセキュリティ脆弱性により、エンタープライズ・ネットワークに深刻なリスクが生じる可能性である。この脆弱性 CVE-2026-33826 を悪用する認証済みの攻撃者は、隣接ネットワーク経由でのリモートコード実行を可能にする。すでに 2026年4月の Patch Tuesday で修正され、Critical と評価されているため、ネットワーク管理者およびセキュリティ・チームは即時対応を優先すべきである。

脆弱性の概要

Microsoft の公式開示によると、CVE-2026-33826 は Active Directory インフラ内の不適切な入力検証 (CWE-20) に起因する。この脆弱性は CVSS 3.1 基本スコア 8.0 を持ち、機密性/完全性/可用性に対する影響が大きいことを示している。

この欠陥の技術的な特性は、以下の通りである。

  • 隣接ネットワーク攻撃ベクター (AV:A):攻撃対象がインターネットに公開されていないため、この脆弱性を悪用する攻撃者は、対象システムと同一の制限された Active Directory ドメインへのアクセスを有している必要がある。
  • 細工された RPC 呼び出し:認証済み攻撃者が、脆弱な RPC ホストに対して特別に細工された Remote Procedure Call (RPC) を送信することで悪用される。
  • 攻撃の複雑性と権限要件は低い:攻撃の複雑性は低く、基本的なユーザー権限のみで実行される可能性があり、被害者の操作は不要である。
  • システムレベルの影響:悪用に成功すると、サーバ側でリモートコード実行が発生し、攻撃者は RPC サービスと同等の高い権限を取得する。

現時点におけるエクスプロイト・コードの成熟度は未確認であり、実環境での悪用報告も確認されていないが、脅威の登場が懸念されている。Microsoft の内部評価において、この脆弱性は “Exploitation More Likely” に分類されている。この評価が示すのは、攻撃者がパッチをリバースエンジニアリングし、近い将来に実用的なエクスプロイト・コードを開発する可能性が高いことである。

この脆弱性は、セキュリティ研究者 Aniq Fakhrul により責任ある開示として報告された。

影響範囲

この脆弱性は、広範な Microsoft サーバ環境に影響する。侵害された場合の被害は、単一の旧式システムに限定されず、10年以上にわたり運用されているエンタープライズ・ソフトウェアにまで及ぶ。

対象プラットフォームは以下の通りである。

Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022 (23H2 Edition 含む)
Windows Server 2025

標準版/Server Core インストールの双方において、このリモートコード実行の脆弱性の影響が生じる点に注意が必要である。

対策

すでに Microsoft は、2026年04月のセキュリティ・アップデートで CVE-2026-33826 に対処している。セキュリティ・チームにとって必要なことは、以下の対策を直ちに実施することだ。

  • 2026年04月14日に公開された該当 KB セキュリティ・アップデート (例:Server 2025 向け KB5082063/Server 2022 向け KB5082142) を適用する。
  • Active Directory インフラに対する異常な RPC リクエストを検知するために、隣接ネットワーク・トラフィックを監視する。
  • 攻撃にはドメイン内認証が必要であるため、ドメイン・アクセスを厳格に監査する。

訳者後書:この脆弱性の原因は、Windows Active Directory の中核となるシステムにおいて、外部からのデータ通信を受け取る際のチェック機能 (入力検証) の不備にあります。具体的には、ネットワーク経由でプログラムを遠隔操作する仕組みである、RPC (リモートプロシージャコール) の処理過程に、この脆弱性が存在します。ドメイン内の基本的なユーザー権限さえ持っている攻撃者であれば、特別に細工した RPC リクエストを送信するだけで、サーバ上で任意のプログラムを実行させることが可能になります。すでに、2026年04月の Patch Tuesday で修正されていますので、ご確認ください。