チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Active Directoryの脆弱性って、そんなに急いで対応する必要あるの?」
「認証が必要ならそこまで危なくないのでは?」
チップスボス!
ADにCVE-2026-33826っていう深刻なRCE脆弱性が見つかったでしゅ!
CVSS 8.0って、結構ヤバい数字でしゅよね!?
ボスADは認証の中枢だ。
ここを取られるとドメイン全体が陥落する。
Microsoftも「悪用される可能性が高い」と評価している。
他人事にしていい脆弱性じゃない。
Microsoftは2026年4月の月例セキュリティ更新プログラムで、Active Directory(AD)のリモートコード実行(RCE)脆弱性CVE-2026-33826を修正しました。
CVSS 8.0のHigh評価で、Windows Server 2012 R2から2025までほぼ全てのサーバOSが影響を受けます。
ADが侵害されるとドメイン全域が支配されるため、今すぐ押さえるべきポイントを解説します。
この脆弱性はADが処理するRPC(Remote Procedure Call)の入力検証不備(CWE-20)を起点としています。
影響を受けるのはWindows Server 2012 R2、2016、2019、2022(23H2含む)、そして最新の2025までです。
Server Coreインストールも対象に含まれるため、GUIなし運用の環境も例外なく更新が必要です。
パッチは2026年4月14日(米国時間)に公開され、Server 2025向けにKB5082063、Server 2022向けにKB5082142などが配布されています。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-33826 |
| CVSS v3 | 8.0(High) |
| 脆弱性タイプ | RCE(RPC入力検証不備) |
| 必要権限 | ドメイン内の低権限ユーザー |
| ユーザー操作 | 不要 |
詳細は@IT(ITmedia)の解説記事やMicrosoftの公式アドバイザリで確認できます。
チップスでも認証が必要なんでしょ?
それならそこまで簡単には攻撃できないんじゃないでしゅか?
ボスそれは甘い考えだ。
フィッシングで奪った一般ユーザーの認証情報があれば、その時点で条件は満たされる。
ランサム攻撃の大半はここから始まる。
攻撃者は細工したRPC呼び出しをドメインコントローラー(DC)に送信し、DCの権限でコードを実行します。
現時点で実環境での悪用は未確認ですが、Microsoftは悪用可能性を「より高い」と評価しています。
過去にもADの類似RCEはランサムウェア攻撃で即座に武器化されてきたため、時間との勝負です。
即時にパッチを適用できない場合は、RPCトラフィックの監視と異常検知、DC間通信のネットワーク分離を組み合わせて暫定防御を敷いてください。
ADが一度侵害されると、Golden Ticket攻撃や永続化バックドア設置により、クリーンアップが極めて困難になります。
パッチ適用までの数日が、侵害範囲を左右する分岐点です。
チップスTier 0管理者って初めて聞いたでしゅ。
普段使いのアカウントと管理者アカウントは別にするってことでしゅか?
ボスそうだ。
管理者が普段使うPCでメールを開けば、そこが突破口になる。
管理操作専用端末を設ける「PAWS」の考え方を、この機会に導入検討せよ。
CVE-2026-33826はADを経由してドメイン全体の掌握に繋がる、実質的に「ドメイン陥落級」の脆弱性です。
Windows Server 2012 R2から2025まで幅広く影響するため、全DCでのパッチ適用状況を今すぐ棚卸ししてください。
パッチ適用と合わせ、権限分離・ログ監視・MFA強制の3点をこの機会に見直すことをおすすめします。
