Windowsの「アクセシビリティ機能」という一見地味な領域から、重大な特権昇格脆弱性「RegPwn」(CVE-2026-24291)が発見された。MDSecのリサーチャーが2025年1月にはすでにレッドチーム演習で実用していた攻撃手法であり、2026年3月のPatch Tuesdayで修正済みながら、GitHubにPoCコードが公開された状態にある。パッチ適用を急ぐとともに、この脆弱性が示す構造的問題を把握しておきたい。

脆弱性の全貌:アクセシビリティとSYSTEM権限の危険な交差点

ナレーター(Narrator)やスクリーンキーボード(On-Screen Keyboard)といったWindowsのアクセシビリティツールは、ユーザーセッション内で動作しながらも高い整合性レベルの権限を必要とする。そのため、Windowsはこれらの設定データをレジストリの特定キーに格納し、ログオン処理においてそのキーへの書き込み権限をユーザーに一時的に付与する設計になっている。利便性のための設計だが、後続の処理との組み合わせが深刻なリスクを生む。

Secure DesktopとATBrokerの役割

攻撃のトリガーとなるのは「セキュアデスクトップ(Secure Desktop)」への切り替えだ。ワークステーションのロックやUACプロンプト表示時に発動するこの分離環境では、atbroker.exeというプロセスが2つ起動する。一方はユーザーコンテキスト、もう一方はSYSTEMアカウントで実行され、後者がユーザー書き込み可能なレジストリパスから設定データを読み取り、保護されたSYSTEMレジストリキーへコピーする。ここに攻撃の本質がある。

レジストリシンボリックリンクによるデータ横取り

攻撃者はユーザー書き込み可能なレジストリキーにシンボリックリンクを仕掛ける。SYSTEMプロセスがデータをコピーしようとした際、そのリンクを経由して攻撃者が制御するデータが任意のレジストリ位置に書き込まれる。たとえばWindows InstallerサービスのImagePathを書き換えることで、SYSTEM権限での任意コード実行が可能になる。

Opportunistic Lock(OpLock)でタイミング問題を克服

攻撃成功にはミリ秒単位の精度が必要だが、MDSecのリサーチャーはアクセシビリティ関連のXMLファイルへのOpLockを活用することで解決した。OpLockにより正規のシステム処理を遅延させ、シンボリックリンクを配置する時間的余裕を確保。競合状態(レースコンディション)の信頼性が大幅に向上し、実用的な攻撃手法として成立している。

実務への影響

今すぐ対応すべきこと

3月のPatch Tuesdayの適用が最優先だ。対象はWindows 10・11およびWindows Serverの全バージョン。GitHubにはPoCコードが公開されており、パッチ適用前に被害を受けた可能性も念頭に以下を確認してほしい。

  • レジストリの不審な変更を監視する: 特にサービスのImagePathキー周辺
  • atbroker.exeの異常な起動を検出する: Secure Desktop切り替えのタイミングへの着目
  • インシデントレスポンスの視点: 「パッチが出た=修正済み」ではなく「侵害されていなかったか」の確認も

多層防御の観点で考える

この脆弱性の本質は「設計の意図(利便性のための書き込み権限付与)」と「セキュリティ要件(SYSTEM昇格の防止)」の衝突だ。パッチ適用は大前提として、さらにエンドポイント特権管理(EPM)を活用したローカル管理者権限の最小化を進めることで、類似の脆弱性による影響範囲を縮小できる。「低権限ユーザーとして侵入されても次のステップを封じる」という考え方——これがゼロトラスト設計の核心だ。

筆者の見解

RegPwnは「ニッチな機能の穴」では決してない。アクセシビリティという広く有効化された機能と、ログオン処理というセキュリティ境界が交差する地点に脆弱性が潜んでいた。こうした設計上の矛盾が長年表面化しなかった背景には「動いているから大丈夫」という慣性があったのではないかと思う。

MDSecが2025年1月から実際の演習で使い続けていたという事実は重い。現実の攻撃者が同様の手法を独自開発・利用していた可能性は十分にある。「修正された=終わり」ではなく、修正までの1年以上の空白期間を振り返るインシデントレスポンスの視点も持ってほしい。

Windowsのセキュリティ改善——Smart App ControlやカーネルドライバーのEVコード署名要件など——の方向性は間違っていない。だからこそ、こういった設計の古傷が残っているのはもったいない。アクセシビリティとセキュリティは本来トレードオフではないはずだし、その両立を実現する技術力はMicrosoftに十分ある。修正が着実に出てくることへの期待とともに、引き続き注目していく。

出典: この記事は Critical ‘RegPwn’ Vulnerability Lets Attackers Gain SYSTEM Access on Windows の内容をもとに、筆者の見解を加えて独自に執筆したものです。