Microsoft、Windows 11向け緊急ホットパッチでRRAS RCE脆弱性に対処
Microsoftは2026年3月14日、定例のパッチチューズデー(Patch Tuesday)とは別に、帯域外(Out-of-Band)アップデート KB5084597 をリリースした。このホットパッチは、Windows 11 EnterpriseデバイスのRRAS(ルーティングおよびリモートアクセスサービス)に存在するリモートコード実行(RCE)脆弱性を修正するものだ。
対象の脆弱性
今回修正された脆弱性は以下の3件で、いずれも3月10日のパッチチューズデーで既に修正済みだった。
- CVE-2026-25172
- CVE-2026-25173
- CVE-2026-26111
Microsoftのアドバイザリによると、これらの脆弱性はドメインに参加しているユーザーが悪意あるサーバーにRRASのスナップイン経由でリクエストを送信するよう誘導された場合に悪用される可能性がある。攻撃者はドメイン上で認証済みである必要があり、影響範囲は「ホットパッチ更新を受信しているEnterprise クライアントデバイスがリモートサーバー管理に使われている限定的なシナリオ」に限定される。
対象OSはWindows 11 バージョン 25H2・24H2、およびWindows 11 Enterprise LTSC 2024だ。
「ホットパッチ」とは何か
ホットパッチは、実行中のプロセスをインメモリで直接修正する技術で、ディスク上のファイルも同時に更新される。これにより、デバイスを再起動しなくても脆弱性修正を即時適用できる。
通常の累積アップデートは再起動が必要になるため、金融システムや製造ラインの制御など、ミッションクリティカルな環境では適用が困難なことも多い。ホットパッチはそうした「再起動できない本番環境」を守るための手段として位置づけられている。
次回の再起動時には、修正内容がディスク上にも反映されているため、パッチが消えることはない。
適用条件と配布方法
このホットパッチが自動適用されるのは、Windows Autopatchに登録され、ホットパッチ更新プログラムに参加しているデバイスのみだ。対象デバイスには再起動不要で自動インストールされる。
Microsoftは「以前にも同脆弱性向けのホットフィックスをリリースしていたが、影響を受けるすべてのシナリオを網羅するために再リリースした」と説明している。
日本企業への影響
RRASはWindowsサーバーのVPNやルーティング機能に広く使われており、オンプレミス環境を多く持つ日本企業も影響を受ける可能性がある。Windows Autopatchを利用していない環境では、3月のパッチチューズデーアップデートを適用することで同等の修正が得られる。未適用の場合は速やかな適用を推奨する。
元記事: Microsoft releases Windows 11 OOB hotpatch to fix RRAS RCE flaw