Windows RPC の脆弱性 PhantomRPC:全バージョンで権限昇格が可能

New Windows RPC Vulnerability Lets Attackers Escalate Privileges Across All Windows Versions

2026/04/25 CyberSecurityNews — Windows Remote Procedure Call (RPC) に存在する、新たに特定されたアーキテクチャ上の脆弱性 PhantomRPC によりローカル環境での権限昇格が生じ、SYSTEM レベルへのアクセスが可能となるため、理論的には全 Windows バージョンに影響が及ぶ可能性がある。2026年4月24日に開催された Black Hat Asia 2026 において、Kaspersky のアプリケーション・セキュリティ・スペシャリスト Haidar Kabibo が発表した研究の成果では、5 種類の攻撃経路が提示されているが、Microsoft によるパッチは提供されていない。

PhantomRPC は、単一コンポーネントのロジック不備やメモリ破壊ではなく、Windows RPC ランタイム (rpcrt4.dll) が利用不能な RPC サーバへの接続を処理する際の、設計上の弱点を指すものである。

高権限プロセスが、オフラインまたは無効化された RPC サーバへ接続を試行した場合に、RPC ランタイムは応答するサーバの正当性を検証しない。そのため、NT AUTHORITY\NETWORK SERVICE などの低権限プロセスを制御する攻撃者は、正規エンドポイントを模倣する悪意の RPC サーバを配置し、通信の傍受を可能にする。

Malicious RPC Server (Kaspersky)

この攻撃の中核は、RpcImpersonateClient API にある。高権限クライアントが高いインパーソネーション・レベルで偽サーバへ接続すると、攻撃者側のサーバは当該 API を呼び出し、クライアントのセキュリティ・コンテキストを奪取する。これにより、低権限のサービス・アカウントから、SYSTEM または Administrator への直接的な権限昇格が可能となる。

5 つの侵害経路

研究者は、以下の 5 つの具体的な攻撃シナリオを確認している。

  • “gpupdate.exe” 強制実行:”gpupdate /force” の実行により、Group Policy Client サービス (SYSTEM) が TermService へ RPC 呼び出しを行う。TermService が無効化されている場合には、偽 RPC サーバが通信を傍受し SYSTEM 権限を取得する。
  • Microsoft Edge 起動:”msedge.exe” の起動時に、TermService への RPC 呼び出しが高いインパーソネーション・レベルで実行される。偽エンドポイントにより、ネットワーク・サービスから Administrator への権限昇格が可能となる。
  • WDI バックグラウンド・サービス:Diagnostic System Host (WdiSystemHost) は SYSTEM で動作し、5〜15 分間隔で TermService へ問い合わせを行うため、ユーザー操作を必要とせずに自動的な昇格が成立する。
  • “ipconfig.exe” と DHCP Client:”ipconfig.exe” 実行により DHCP Client への内部 RPC 呼び出しが発生する。DHCP が無効化され、偽サーバが配置された場合には、ローカル・サービスから Administrator への権限昇格が可能となる。
  • “w32tm.exe” と Windows Time:Windows Time 実行ファイルは \PIPE\W32TIME への接続を試行する。攻撃者は正規サービスを無効化することなく同エンドポイントを公開し、当該バイナリを実行する高権限ユーザーのインパーソネーションが可能となる。
Microsoft の対応 — パッチ未提供

この脆弱性は、2025年9月19日に Microsoft Security Response Center (MSRC) に報告された。Microsoft は 20日後に応答し、この問題を深刻度 Medium に分類した。その理由として、攻撃に SeImpersonatePrivilege が必要であり、この権限はネットワーク・サービスおよびローカル・サービスにデフォルトで付与されている点が挙げられている。

CVE は割り当てられず、修正予定もないまま、このケースはクローズされた。

対応策

パッチが提供されるまで、防御側は以下の対策を実施する必要がある。

  • ETW ベースの RPC 監視を有効化し、RPC_S_SERVER_UNAVAILABLE エラー (Event ID 1) と高いインパーソネーション・レベルの組み合わせを検知する。
  • TermService などの無効化されているサービスを可能な範囲で有効化し、正規エンドポイントを占有させる。
  • SeImpersonatePrivilege の付与を必要最小限のプロセスに制限し、カスタム/サードパーティ・アプリケーションへの付与を避ける。

Kaspersky は PhantomRPC GitHub リポジトリを通じて研究ツールを公開している。それらを活用する組織は、自身の環境において悪用可能な RPC パターンを検証可能である。

今回の PhantomRPC という問題は、特定のプログラムのミスではなく、Windows の通信の仕組みである RPC ランタイムの設計に原因があります。本来、通信相手であるサーバが本物かどうかを確認する必要がありますが、接続先が動いていない時に偽のサーバがなりすましても、システム側がそれを信じて接続してしまう点が大きな弱点です。この隙を突いて、本来は権限の低いサービスであっても、高い権限を持つクライアントのふりをして SYSTEM 権限を奪い取ってしまいます。パッチが提供されていないため、監視を強化したり、不要なサービスを正しく設定したりすることが大切です。ご利用のチームは、ご注意ください。よろしければ、Windows で検索も、ご参照ください。