緊急警報：Windows NetlogonのRCE脆弱性「CVE-2026-41089」が実戦投入、未対策のドメインコントローラは「侵害前提」で対応を

GitHub上ではすでに検証用の悪用コード（PoC）が公開されており、過去の事例から、このようなPoC公開から24～72時間以内に大規模な自動スキャンと攻撃が開始されるのが通例です 。

影響を受けるWindows Serverのバージョン

この脆弱性は、2026年5月12日以降に公開されたセキュリティ更新プログラムを適用していない、Netlogonサービスを実行するすべてのサポート対象Windows Serverに影響します 。米国立標準技術研究所（NIST）の脆弱性データベースや複数のセキュリティベンダーの情報によると、影響を受けるエディションは以下の通りです 。

• Windows Server 2012 および 2012 R2（Server Coreインストールを含むすべての環境）
• Windows Server 2016
• Windows Server 2019（Server Coreを含む）
• Windows Server 2022（21H2、22H2、23H2 Edition。Server Coreを含む）
• Windows Server 2025

この問題はNetlogonの通信プロトコルであるMS-NRPCのハンドラに存在し、ドメインコントローラの探索に使用されるTCPポート445またはUDPポート389（CLDAP）を介して悪用が可能です。つまり、通常のネットワーク構成でドメインコントローラが晒されている経路が、そのまま攻撃経路になり得ることを意味します 。

修正プログラムの適用状況

公式のMicrosoftセキュリティ更新プログラム

MicrosoftはCVE-2026-41089の修正プログラムを、2026年5月12日の月例パッチで公開しています 。組織は自社のWindows Serverビルドに該当する更新プログラムを早急に適用する必要があります。Rapid7の脆弱性データベースには、各バージョンに対応するKB番号が以下のように記載されています 。

• Windows Server 2012: KB5087470
• Windows Server 2012 R2: KB5087471
• Windows Server 2016 (1607): KB5087537
• Windows Server 2019 (1809): KB5087538
• Windows Server 2022 (21H2/22H2): KB5087545
• Windows Server 2022 (23H2): KB5087541
• Windows Server 2025 (24H2): KB5087539

この脆弱性は認証前に悪用され、現在活発な攻撃も確認されているため、運用上可能であれば、すべてのドメインコントローラへのパッチ適用を単一の、可能な限り短いメンテナンスウィンドウで完了させるべきです 。

レガシーシステム向け「0patch」マイクロパッチ

公式の延長セキュリティ更新プログラム（ESU）が提供されていない、サポート終了済みのWindows Serverを運用している組織のために、Acros Security社は「0patch」プラットフォームを通じて無償のマイクロパッチを提供しています 。このパッチは必要最小限の修正に留めており、攻撃者が唯一制御できる値である「ユーザー名」の文字列の最大長を半分に制限することで、スタックオーバーフローの発生を根本から防ぎます。これにより、無関係なコードへの影響を一切与えません 。

0patchが今回のマイクロパッチの提供を確認しているのは以下のバージョンです。

• Windows Server 2012（ESU未契約）
• Windows Server 2012 R2（ESU未契約）

このマイクロパッチは0patchエージェントを通じて配信され、システムの再起動を必要とせずにメモリ上で直接適用されます。これは、ドメインコントローラの再起動スケジュールに制約がある環境にとっては特に有効な選択肢です。0patchは、Windows Server 2008 R2や2012、2012 R2といった、すでにサポートが終了したOS向けのクリティカルな脆弱性に対し、長年にわたりマイクロパッチを提供してきた実績があります 。

緊急の緩和策と対応ガイドライン

パッチ適用は未来の攻撃からシステムを守るための対策であり、過去に遡って、すでに行われたかもしれない侵害を取り除くものではないという点に、強く注意する必要があります。CCBは、「パッチ適用は将来の悪用から保護するが、過去の侵害を修復するものではない」と明確に警告しています 。

CCBが推奨する主なアクション

1. 最優先で直ちにパッチを適用する — 2026年5月のMicrosoft公式更新プログラムを、すべてのドメインコントローラに適用してください。次の定期メンテナンスを待つ猶予はありません。これは現在進行形の攻撃です 。
2. 監視と検知体制を強化する — ドメインコントローラを標的とした不審な活動、特に通常とは異なるNetlogonトラフィック、RPCやLDAPの異常パターンを監視する体制を拡充してください 。
3. 過去の侵害の可能性を前提に行動する — 5月12日以降、パッチが適用されるまでの間にネットワークに公開され、かつパッチが未適用だったドメインコントローラは、すべてフォレンジック観点から侵入の痕跡がないか調査すべきです 。
4. パッチ適用期間を可能な限り短縮する — すべてのドメインコントローラへのパッチ適用を、最小限のメンテナンスサイクルで一気に完了させてください。Active Directoryフォレストの一部にでも脆弱なマシンが残っていれば、フォレスト全体が危険に晒されます 。
5. パッチ適用後に再検証を実施する — パッチ適用後は、スキャンツールなどで再度確認し、脆弱なドメインコントローラがネットワーク上に残存していないことを必ず検証してください 。

専門家が推奨する追加の防御策

• ドメインコントローラのネットワーク分離（セグメンテーション） — 信頼できる管理用トラフィックや必要なインフラ通信だけがドメインコントローラに到達できるよう、ネットワークアクセスを厳格に制限します。Netlogon関連のポート（TCP 445、UDP 389）は、信頼できないネットワーク境界や内部ファイアウォールでブロックしてください。
• ネットワーク層でのNetlogonトラフィック制限 — ホストファイアウォールだけでなく、ネットワーク機器側でも、どの端末がドメインコントローラに対し脆弱なプロトコルで接続を開始できるかを制御します。
• 特権アクセス経路の強化 — ドメインコントローラに対する特権アクセス権を持つアカウントを棚卸し、必要最小限に絞り込みます。ドメインコントローラの「SYSTEM」権限を掌握されれば、そこから資格情報の窃取や横展開（ラテラルムーブメント）に直結するためです 。
• 攻撃後の不審な活動を監視する — イベントログに現れる異常なサービスの挙動、ドメインコントローラの予期せぬ再起動、LSASSプロセスのクラッシュ、新規管理者アカウントの作成、Kerberosチケットの異常なリクエストなどを注意深く監視してください 。
• 「侵害前提」の包括的な対応を徹底する — 徹底したフォレンジック調査が完了するまでは、これまでパッチ未適用だったすべてのドメインコントローラを「侵害された可能性が高い」ものとして扱う必要があります。

補足：EPSSスコアと「統計」への過信の危険性

CVE-2026-41089の「EPSS（悪用予測スコアリングシステム）」による悪用確率は0.09%と報告されていましたが 、これは過去のデータに基づく確率モデルに過ぎません。すでにCCBのような国家レベルの機関が「実際の攻撃を確認した」と発表した後は、統計上の予測値ではなく、確認された現実の脅威に基づいて対応の優先順位を判断しなければなりません。