Windows RDP の新たなアラート:2026/04 Patch Tuesday でのアップデートを確認

New RDP Alert After April 2026 Security Update Warns of Unknown Connections

2026/04/20 CyberSecurityNews — 2026年04月 Patch Tuesday の一環として、Windows Remote Desktop Connection (MSTSC) の挙動に大きな変更が導入された。Remote Desktop Protocol (.rdp) ファイルを悪用するフィッシング攻撃から、ユーザーを保護するための新たな警告ダイアログが、この変更において追加されている。

ユーザーに気付かれない状態で、攻撃者が管理するインフラへの接続を誘導する手法で、”.rdp” ファイルが武器化されるという事例が増加している。

代表的な事例として、ロシアの国家支援型脅威グループ Midnight Blizzard による大規模スピアフィッシング・キャンペーンがある。この攻撃では、メールに添付されるかたちで悪意の RDP ファイルが配布され、通常ファイルに見せかけながらローカル・ドライブ/クリップボード/認証情報などへのアクセスが要求された。

この問題について、英国の National Cyber Security Center (NCSC) は Remote Desktop のスプーフィングの脆弱性として Microsoft に報告し、今回の修正に至った。

2026年04月14日の Patch Tuesday アップデート (Windows 11 向け KB5083769 ビルド 26200.8246/26100.8246) では、”.rdp” ファイル起動時に 2 種類のダイアログが表示されるようになった。

初回の教育ダイアログ (アカウントごとに 1 回のみ)

アップデート後に初めて “.rdp” ファイルを開く際に、RDP ファイルの仕組みと潜在的リスクを説明する情報ダイアログが表示される。ユーザーが許可すると、同一アカウントでは再表示されなくなる。

それ以降は、”.rdp” ファイルを開くたびに、接続前の警告ダイアログが表示される。このダイアログで一覧表示されるのは、接続先アドレス/デジタル署名の有無/ローカル・リソース共有要求 (ドライブ/クリップボード/プリンタ/スマートカード/WebAuthn 認証情報) などである。

すべてのリソース共有はデフォルトで無効 (OFF) となり、ユーザーが明示的に選択しなければ有効化されない。

接続ごとのセキュリティ・ダイアログ (毎回表示)

また、”.rdp” ファイルが未署名または発行元不明の場合には、ダイアログに “Caution: Unknown remote connection” 警告がオレンジ色で表示される。

発行元は “Unknown publisher” と表示され、最もリスクの高い状態として識別される。それが示唆するのは、攻撃者により配布された未署名 RDP ファイルであり、接続内容を確認せずに実行させる攻撃手法の主要な侵入口である。

このアップデートの設計思想は、Secure by Default に従うものである。従来においては、”.rdp” ファイルの実行時に警告が表示されず、ローカル・リソース共有が自動的に許可される場合があった。

2026年04月アップデート以降、危険なリソース共有に際しては、ユーザーの明示的な同意が必要になる。

HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client の RedirectionWarningDialogVersion レジストリ値を 1 に設定することで、管理者は一時的に従来の挙動へ戻すことが可能だ。ただし、長期的な運用としては推奨されない。

ユーザー組織にとって必要なことは、RDP ファイル配布方法の見直しと、署名付き接続ファイルの標準化の推進である。それにより、信頼された添付ファイルを悪用する攻撃リスクを低減できる。

この仕様変更の背景にあるのは、外部の攻撃者が管理するサーバへユーザーを誘導する道具として、RDP ファイル (Remote Desktop Protocol) が悪用されるケースの急増です。具体的には、ロシアの Midnight Blizzard といった攻撃グループが、正規のファイルに見せかけた悪意のある RDP ファイルをメールで送りつけ、ユーザーのコンピュータ内のファイルや認証情報などを盗み取ろうとする、スピアフィッシング攻撃が大きな脅威となっています。これまでは、ファイルを開いただけで自動的にこれらの重要なリソースを共有してしまう設定もあり、この脆弱性が大きなセキュリティ・ホールとなっていました。ご利用のチームは、ご注意ください。よろしければ、Windows RDP での検索結果も、ご参照ください。