Microsoft が .NET 10.0.7 を緊急リリース:深刻な権限昇格の脆弱性 CVE-2026-40372 に対応

Microsoft Emergency .NET 10.0.7 Update to Patch Elevation of Privilege Vulnerability

2026/04/22 CyberSecurityNews — 2026年04月21日に、Microsoft は .NET 10 のバージョン 10.0.7 をリリースし、Microsoft.AspNetCore.DataProtection NuGet パッケージに存在する、深刻な脆弱性に対処した。この脆弱性を悪用する攻撃者により、重大な特権昇格が生じる恐れがある。今回の OOB リリースの背景にあるのは、通常の Patch Tuesday における .NET 10.0.6 アップデート適用後の、ASP.NET Core アプリケーションにおいて復号失敗が発生したという顧客からの報告である。

影響を受けた開発者により広範な復号リグレッションが報告されたことで、この問題は ASP.NET Core issue #66335 として公開トラッキングされている。そして、Microsoft のエンジニアによる調査の最中に、バージョン 10.0.0 〜 10.0.6 に影響を及ぼす、より深刻な問題であるセキュリティ・リグレッションが発見された。

緊急 .NET 10.0.7 更新

Microsoft.AspNetCore.DataProtection パッケージ内のマネージド認証暗号化機構に存在する、この脆弱性は CVE-2026-40372 として追跡されている。

影響を受けるバージョンの挙動は、ペイロードの誤ったバイト列に対して、暗号化機構が HMAC (Hash-based Message Authentication Code) 検証タグを計算し、その後に計算結果を破棄するというものだ。

この暗号処理の不備を突く攻撃者が、整合性検証を回避する形で保護データを改変し、特権昇格を達成する可能性が生じる。このバグは、ASP.NET Core Data Protection スタックの中核的なセキュリティ保証を破壊するものである。このフレームワークは、クッキー/トークン/機微なアプリケーションの状態の暗号化に広く利用されているため、ユーザーは危険な状況に置かれている。

この脆弱性は、.NET 10.0.0 〜 10.0.6 上で Microsoft.AspNetCore.DataProtection パッケージを利用する、すべてのアプリケーションに影響する。

ASP.NET Core Data Protection は、クッキー認証/アンチフォージェリトークン/TempData の暗号化といった基盤を支えるコンポーネントであるため、攻撃対象範囲は広い。ユーザー・セッションや保護ペイロードを扱うアプリケーションにおいて、今回のアップデートを適用していない環境が、特権昇格攻撃のリスクに晒される。

すべての開発者および組織に対して Microsoft が強く推奨するのは、Microsoft.AspNetCore.DataProtection パッケージを、バージョン 10.0.7 へと直ちにアップデートすることだ。

更新済みの SDK およびランタイムは、公式の .NET 10.0 ダウンロード・ページから取得できる。インストール後に、管理者は以下を実施する必要がある:

  • “dotnet –info” を実行し、ランタイム・バージョンが 10.0.7 であることを確認する。
  • 更新済み NuGet パッケージまたはコンテナ・イメージを用いて、すべてのアプリケーションを再ビルド/再デプロイする。
  • サーバ展開における、Linux パッケージ・インストール・ガイダンスを確認する。

コンテナ・イメージも更新済みであり、Microsoft Container Registry から利用可能である。.NET 10 系列の既知問題は、公式 .NET Core GitHub リポジトリに文書化されている。

今回の緊急パッチは、重大なリグレッションが発見された場合の Microsoft が実施する、通常の Patch Tuesday サイクル外で修正を迅速に展開するパターンに従うものである。

なお、2026年04月の Patch Tuesday では、Microsoft 製品群全体にわたり複数の特権昇格脆弱性が修正されている。それが示すのは、Windows および .NET エコシステムにおける脅威状況の活発化である。今後の OOB リリースを迅速に把握するために、開発者は NuGet パッケージの自動更新通知を有効化すべきである。

訳者後書:アプリケーションの基盤となるフレームワークで発生した予期せぬ不具合と、その裏に隠れていた重大な欠陥について紹介する記事です。問題の根本的な原因は、ASP.NET Core の暗号化パッケージにおいて、データの改竄を防ぐための検証プロセス (HMAC 検証) に脆弱性 CVE-2026-40372 が生じたことにあります。このミスにより、保護されているはずのデータが攻撃者により書き換えられ、特権昇格の可能性が生じています。通常の更新後に見つかった二次的な不具合がきっかけで判明した事例ですが、土台となるライブラリの脆弱性は、深刻な結果を引き起こすため、注意が必要です。よろしければ、ASP.NET での検索結果も、ご参照ください。