Windows Snipping Tool の脆弱性 CVE-2026-33829:NTLM リークと PoC の存在

Windows Snipping Tool Vulnerability Allows Attacker to Perform Spoofing Over a Network

2026/04/17 CyberSecurityNews — Microsoft が公表したのは、Windows Snipping Tool に存在する深刻度 Medium のセキュリティ脆弱性への対処である。このスプーフィングの脆弱性 CVE-2026-33829 を悪用する攻撃者は、ユーザー認証情報を窃取する可能性がある。なお、この脆弱性は、Blackarrow (Tarlogic) のセキュリティ研究者により発見/報告され、2026年04月14日の Patch Tuesday で正式に修正されている。

この脆弱性は、Windows 環境におけるアプリケーション URL ハンドラの継続的なリスクを原因とするものである。脆弱性 CVE-2026-33829 (CVSS 3.1:4.3) は、未認可の攻撃者に対する機密情報の漏洩 (CWE-200) に分類される。

この脆弱性は、Windows Snipping Tool が “deep link” を処理する方法に起因する。具体的には、ms-screensketch URI スキーマ処理時の、入力に対する不十分な検証が問題を引き起こす。

Microsoft と Blackarrow が開示したのは、この弱点の悪用により、認証済みの Server Message Block (SMB) 接続を、攻撃者が制御するサーバに対して強制できるという点だ。

Snipping Tool のスプーフィングの脆弱性

このエクスプロイトはユーザー操作を必要とするが、攻撃難易度は低い。PoC に基づく攻撃フローは以下の通りである。

  • 悪意リンク作成:攻撃者は、”ms-screensketch:edit” パラメータを用いたリンクを生成する。
  • 誘導処理:”filePath” パラメータにより、外部の悪意の SMB サーバを指示する。
  • ユーザー操作:フィッシング・メールや侵害サイト上のリンクをクリックした被害者が、Snipping Tool の起動確認を承認する。
  • ハッシュ窃取:承認後の Snipping Tool は、偽ファイルを取得するためにリモート・サーバへ接続し、バックグラウンドで NTLMv2 パスワード・ハッシュを漏洩する。
  • 不正アクセス:不正に取得したハッシュを用いる攻撃者は、ネットワーク上でユーザーとして認証可能となる。

この脆弱性は、ソーシャル・エンジニアリング攻撃における標的としての価値が高い。たとえば、壁紙のトリミングやバッジ写真の編集の依頼を受けるページを装うことで、悪用が可能になる。

この攻撃フローにおいて Snipping Tool は通常通り起動するため無害に見えるが、ユーザーに気付かれずに NTLM 認証が実行される。

この攻撃は機密性の侵害を引き起こすが、データ改竄 (Integrity) や可用性 (Availability) には影響を及ぼさない。

Microsoft によると、現時点でエクスプロイト・コードの成熟度は未確認であるが、実際の悪用可能性は低いとのことだ。また、実際の攻撃報告も存在しない。

影響対象システム

GitHub に公開された情報によると、この脆弱性が影響を及ぼす範囲は、Windows 10/Windows 11/Windows Server 2012 〜 2025 になるという。ユーザー組織は以下の対策を実施し、脆弱性 CVE-2026-33829 からネットワークを保護する必要がある。

  • 2026年04月14日に公開された、Microsoft の公式セキュリティ・パッチを直ちに適用する。
  • 外向き SMB 通信 (ポート 445) を境界で遮断し、NTLM ハッシュの外部送信を防止する。
  • 不審なリンクのクリックや、ブラウザからの Snipping Tool 起動確認の危険性について従業員を教育する。

訳者後書:この問題の原因は、Windows 標準の Snipping Tool (切り取り&スケッチ) が、特定のリンク (URI スキーマ) を受け取る際の、不十分なチェック機能にあります。この脆弱性 CVE-2026-33829 により、Snipping Tool を強制的に起動させる特別なリンク (ms-screensketch:edit) の悪用が可能になります。このリンクの中に、”攻撃者のサーバからファイルを開く” という命令が紛れ込んでいると、リンクをクリックしたユーザーの Snipping Tool は、自動的に攻撃者のサーバに接続します。その際に、Windows の標準的な仕組み (SMB 通信) により、ユーザーのパスワード情報の一部である NTLM ハッシュが、バックグラウンドで攻撃者へ送信されてしまいます。すでに 2026年04月14日の Patch Tuesday で修正された脆弱性ですが、GitHub に PoC が提供されていますので、ご注意ください。