Windows IKEに緊急RCE脆弱性CVE-2026-33824「BlueHammer」、CVSS 9.8で認証不要・悪用中

「VPNサーバーで使ってるWindowsに、認証なしでRCEできる脆弱性が出たって本当？」
「CVSS 9.8の緊急アップデート、自社環境にどんな影響が？」

2026年4月14日のMicrosoft月例パッチで、Windows IKE Service Extensionsの致命的なリモートコード実行脆弱性CVE-2026-33824が修正されました。
「BlueHammer」と呼ばれるこの脆弱性は、CVSS 9.8の最高クラスで、すでに実環境で悪用が確認されています。

BlueHammer攻撃の仕組みと、すぐに取れる現実的な対策を整理します。

BlueHammer脆弱性の概要と影響範囲

CVE-2026-33824はWindows IKEEXTサービス（IPsec/IKEv2の鍵交換を担う）に存在する致命的な欠陥です。

対象システムと攻撃の前提条件

影響範囲はWindows 10、Windows 11、Windows Server 2016〜2025までと、サポート中のほぼ全Windows環境にまたがります。
IKEEXTサービスはVPNやIPsec通信を有効にしているサーバーで動作し、UDP 500番および4500番をインターネット側に開けている環境が直撃を受けます。
VPNゲートウェイやリモートアクセスサーバーを運用する組織は、最優先で対象台数の確認を進めるべきです。

項目	内容
CVE番号	CVE-2026-33824（通称BlueHammer）
CWE分類	CWE-415（二重解放）
CVSS v3	9.8（Critical）
攻撃前提	認証不要・ユーザー操作不要・UDP 500/4500到達のみ
対象	Windows 10/11、Server 2016〜2025
悪用状況	実環境での悪用を確認

4月14日のパッチ公開直後から、PoCの公開と組み合わせて攻撃キャンペーンが拡大しています。
遠隔から無条件にSYSTEM権限を奪取できるため、ランサムウェアの初期侵入経路として悪用される可能性が極めて高い案件です。

二重解放を悪用したRCEの仕組みと対策

BlueHammerはIKEEXTサービスのパケット処理におけるメモリ管理ミスを突きます。

攻撃の流れと取り得るミティゲーション

攻撃者は不正なNotify/ProposalペイロードのSA_INITパケットを連続送信し、IKEEXT内部のポインタ解放処理を二重に走らせます。
Control Flow Guardなどの保護機構を回避し、ヒープを操作して任意のコードをSYSTEM権限で実行する高度な手法です。
対策の本筋は4月14日公開のパッチ即時適用で、暫定対策として境界での通信制限が用意されています。

パッチ適用が困難な環境ほど、攻撃面そのものを物理的に塞ぐ判断が求められます。
「業務影響を恐れて様子見」が、最悪の被害を招くケースが過去にもありました。

まとめ

CVE-2026-33824（BlueHammer）はCVSS 9.8、認証不要、すでに悪用中という最悪条件の脆弱性です。
Windows VPN/IPsec環境を持つすべての組織は、4月14日公開パッチを最優先で適用し、それまでの間はUDP 500/4500の遮断またはIKEEXTサービス停止で攻撃面を物理的に消してください。
判断の早さがそのまま被害規模を決めます。