AD DSにSYSTEM権限取得の脆弱性 Microsoftが修正プログラムを配布：セキュリティニュースアラート

Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。

[ITmedia エンタープライズ編集部，ITmedia]

　Microsoftは2026年3月10日（現地時間）、「Active Directory Domain Services」（以下、AD DS）に存在する権限昇格の脆弱（ぜいじゃく）性「CVE-2026-25177」を公開し、「Windows」および「Windows Server」への修正更新プログラムを配布した。攻撃者が悪用するとSYSTEM権限を取得する恐れがある。

Windows 10からServer 2025まで影響、AD DSの権限昇格問題に対処

　この問題はリソース名やファイル名の制限処理の不備に起因する。共通脆弱性評価システム（CVSS）のスコアは8.8、深刻度「重要」（High）と評価された。ネットワーク経由の攻撃が成立する可能性があり、低い権限でも成立する点が特徴だ。

　攻撃は「Active Directory」で利用されるService Principal Name（SPN）やUser Principal Name（UPN）の管理処理を狙う。細工したUnicode文字を利用することで既存チェックを回避し、重複したSPNやUPNの登録を成立させることが可能になる。

　攻撃者がSPNを書き込める権限を持つアカウントを利用した場合、標的サービスと同一のSPNを登録できる可能性がある。クライアントがKerberos認証を要求した際、ドメインコントローラーが誤った鍵でチケットを生成する恐れがある。

　この状態では対象サービスがチケットを拒否する場合がある。結果としてサービス障害が発生する可能性がある他、NTLM認証が有効な環境ではKerberos認証が利用できずNTLMに移行する状況も発生し得る。こうした条件が重なると、攻撃者が権限を拡張する足掛かりになる可能性がある。

　攻撃が成功すると、SYSTEM権限を奪取される可能性があり、ドメイン環境の広範な制御を握る恐れがある。公開時点で悪用コードの公開や実際の攻撃活動は確認されていない。Microsoftは悪用可能性を「Exploitation Less Likely」と評価した。

　Microsoftはこの問題に対処する更新プログラムを公開した。対象には「Windows 10」と「Windows 11」、Windows Server各バージョンが含まれ、Windows Server 2012系から最新のWindows Server 2025まで幅広い製品が修正対象となる。

　更新プログラムはWindows Updateなどから入手できる。Windows 10 Version 22H2ではビルド19045.7058、Windows 11 Version 24H2ではビルド26100.8037などが公開された。またWindows Server 2022やServer 2025などにも修正が提供されている。

　企業ネットワークではActive Directoryが認証基盤として広く利用されている。管理者には更新プログラムの適用が求められる。加えて、SPN変更操作の監視や不審な認証挙動の確認などの運用管理も防御策として推奨される。