チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ドメインコントローラへのRCEって、どれくらい危ないんでしゅか?」
「うちのADサーバ、ちゃんと5月パッチ当ててたかわからないでしゅ…」
チップスボス、Windows NetlogonにゼロクリックでRCEができる脆弱性が出て、もう実際に攻撃されてるって聞いたんでしゅ。Active Directoryが乗っ取られるんでしゅか?
ボスふふふ、CVE-2026-41089だな。CVSS 9.8、ユーザー操作なしでDCにSYSTEM権限を奪われる。AD全体が一瞬で陥落するレベルの代物だ。
2026年5月のPatch TuesdayでMicrosoftが修正したWindows NetlogonのRCE脆弱性(CVE-2026-41089)について、ベルギーCCBが6月1日に野外での積極的悪用を確認したと警告しました。
ドメインコントローラを直接標的にできる重大欠陥で、未パッチ環境は短時間でAD全体を制圧されるリスクを抱えています。
本記事では攻撃の中身と、自社が今すぐ取るべき行動を整理します。
記事を読み終える頃には、自社の優先パッチ対象と、今夜中にやるべきチェック項目が見えてきます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まず脆弱性の輪郭と公的機関の反応を押さえておきましょう。
CVE-2026-41089はNetlogonのスタックベースバッファオーバーフロー脆弱性で、攻撃者は特別に細工したNetlogonリクエストを送るだけでDC上で任意コードを実行できます。
5月13日のPatch Tuesdayで修正版が公開された後、5月29日に野外悪用が確認され、6月1日にCCBが公式警告を発出しました。
影響範囲は現行サポート対象の全Windows Serverに及びます。
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8(Critical)、認証不要・ユーザー操作なし |
| 影響対象 | Windows Server 2025を含むサポート対象全バージョン |
| 悪用確認 | 2026年5月29日、ベルギーCCBがITW悪用を発表 |
チップス0クリックって、メールも開かなくていいんでしゅか?正直、何をどう守ればいいか想像できないでしゅ…。
ボスそうだ。攻撃者はDCのポート445に直接パケットを送るだけでよい。境界越しに到達可能なDCがある限り、検知前に侵害が完了する想定で動く必要があるな。
次に、悪用される技術的な仕組みと、優先順位の高い対応策を見ていきましょう。
攻撃者はNetlogon Remote Protocol(MS-NRPC)のリクエストハンドラに細工した入力を渡し、スタックバッファをオーバーフローさせます。
成功するとNetlogonサービスコンテキストで任意コードを実行でき、DC上のSYSTEM権限を直ちに取得します。
攻撃の前提条件は驚くほど少ない点に注意が必要です。
修正版の適用が最終解ですが、再起動が必要なDCのパッチには段取りが要ります。
パッチ展開と並行して、暫定的なネットワーク遮断や監視強化を進めるのが現実的です。
優先順位は以下の通り整理してください。
チップスDCの再起動って深夜帯にしかできないんでしゅ。今夜の対応、間に合うんでしゅかね…。
ボス悠長なことを言うな。攻撃の波が来ているんだ。再起動できないなら、まずネットワーク経路の遮断で時間を稼げ。
CVE-2026-41089はAD環境にとって最悪クラスの脆弱性で、ゼロクリックでDCのSYSTEM権限が奪われます。
5月Patch Tuesdayの適用を最優先に置き、未対応のDCはネットワーク経路の遮断で時間を稼ぎながら早期に修正してください。
「いつ攻撃されてもおかしくない」前提で、経営層への報告とEDRログの遡及確認も並行して進めることが大切です。
緊急パッチ対応や侵害調査には、AD運用とインシデント対応の経験を持つフリーランス人材の活用も有効です。
詳細は BleepingComputerの報道 と Rapid7のPatch Tuesday解説 もご確認ください。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
