Windows RDSにゼロデイ脆弱性 悪用コードが22万ドルで闇市場に流通：セキュリティニュースアラート

Windows Remote Desktop Servicesのゼロデイ脆弱性を悪用するコードがダークウェブ市場で高額流通されていることが分かった。同脆弱性はSYSTEM権限奪取が可能で広範なOSに影響するという。

[ITmedia エンタープライズ編集部，ITmedia]

　セキュリティニュースメディア「Cybersecurity News」は2026年3月8日（現地時間、以下同）、「Windows Remote Desktop Services」に存在する権限昇格の脆弱（ぜいじゃく）性「CVE-2026-21533」を悪用するゼロデイ攻撃コードが、ダークウェブ市場の掲示板で22万ドルで販売されていると報じた。

ゼロデイ脆弱性がダークウェブ市場で高額流通　悪用確認済みのため注意

　この投稿は、2026年3月3日に作成されたアカウント「Kamirmassabi」によって掲載されたものとされ、掲示板内のマルウェアや攻撃コードを扱う区画に出品された。広告では該当の脆弱性をゼロデイとして説明し、購入希望者は個別メッセージで連絡するよう求めている。掲示内容には攻撃コードの販売を示す証拠画像も含まれており、ダークウェブ市場で脆弱性が迅速に商品化されている恐れがある。

　CVE-2026-21533は、Windows Remote Desktopにおける権限管理処理の不備に起因する権限昇格の脆弱性だ。システムがユーザー権限の割り当てや変更、追跡、検証を適切に実施できない場合、想定外の制御領域が発生する可能性がある。この欠陥を利用した攻撃では端末にアクセス権を持つユーザーが権限を引き上げ、最終的にSYSTEM権限を取得する可能性がある。SYSTEM権限を得た場合、攻撃者は端末を完全に操作できる状態となる。

　同脆弱性は、「Windows 10」や「Windows 11」の複数ビルドに加え、「Windows Server 2012」から2025年版までの多くのサーバ製品が対象とされる。脆弱性の深刻度は共通脆弱性評価システム（CVSS）のスコアが7.8で、深刻度「重要」（High）と評価されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この欠陥を「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加しており、連邦機関に対処が求められている。

　対策として、組織はMicrosoftが公開した最新のセキュリティ更新を速やかに適用する必要がある。更新適用が難しい環境においては、Windows Remote Desktop Servicesの無効化も検討対象となる。利用を継続する場合、信頼されたネットワークのみに接続元を限定する措置が望ましい。EDR（Endpoint Detection and Response）を導入し、レジストリー変更や権限昇格の兆候を監視することも有効とされる。

　攻撃コードが22万ドルという高額で販売されている点も注目されている。高額な価格設定は攻撃コードの信頼性が高い可能性を示唆している。未更新のWindows環境が多く残っている場合、侵入後の権限拡張を目的とした攻撃で利用される懸念がある。