Microsoftは2026年5月のPatch Tuesdayにて、Windowsシェルに存在する認証強制欠陥(CVE-2026-32202)を修正した。この脆弱性の厄介な点は、2月の修正パッチ(CVE-2026-21510)が不完全だったことが原因で新たに生じたという点だ。「パッチのパッチ」を当てなければならない状況が、またもや現実となった。

パッチの修正漏れが生んだ「ゼロクリック」脆弱性

CVE-2026-32202は、Windowsシェルの認証強制(Authentication Coercion)の欠陥だ。ゼロクリック——つまり、ユーザーが何も操作しなくても悪意あるファイルを含むフォルダを開くだけで攻撃が成立する。具体的には、Windowsエクスプローラーが自動的にLNKファイルを解析する際の挙動を悪用し、攻撃者が管理するサーバーへNTLM資格情報を自動送信させる。

この脆弱性を発見したのは、セキュリティ企業Akamaiのリサーチャー、Maor Dahan氏だ。報告を受けたMicrosoftは当初「低リスク」と判断したが、その後に実際の悪用が確認されたことでCISAの「Known Exploited Vulnerabilities(KEV)」カタログへの追加に至り、評価を見直した。

今回の発端となったCVE-2026-21510は、APT28(別名Fancy Bear)——ロシアの国家支援型攻撃グループ——がウクライナや欧州を標的に実際に悪用した脆弱性だ。そのパッチが修正漏れを残した結果、同じ攻撃領域に新たな経路が生まれたことになる。

技術的な背景:NTLMとAuthentication Coercionの構造的問題

NTLMは歴史あるWindowsの認証プロトコルだが、「Challenge-Response」方式の設計上、相手が正当なサーバーかどうかを十分に検証せずに認証試行を送り出す構造的な弱点を持つ。

Authentication Coercion攻撃とは、この弱点を突いてWindowsに「悪意あるサーバーへ認証を試みさせる」ことで資格情報のハッシュを取得する手法だ。取得したNTLMハッシュはパスワードクラックやPass-the-Hash攻撃に使われ、ネットワーク内での横移動(Lateral Movement)に直結する。

LNKファイルの自動解析は利便性のために設計された機能だ。しかし、その機能がセキュリティ上の抜け道になるケースは後を絶たない。今回はまさにその典型例だ。

実務への影響——日本のエンジニア・IT管理者にとっての意味

まず、パッチ適用は必須だ。 影響範囲はすべてのWindowsシステムで、CISAがKEVカタログに追加した以上、実際の攻撃が確認されている。

実務対応として以下を確認してほしい:

5月Patch Tuesdayの適用状況を確認する——WSUS、Microsoft Update、またはIntune経由で展開状況を把握する。適用が遅れているシステムがないか横断的に確認する。

ファイアウォールルールの見直し——Windowsシェルコンポーネントへの不要なインバウンドトラフィックを制限する。SMBポート(445/tcp)やNetBIOSポート(137–139)への外部からのアクセスは最小化する。

NTLM認証の監視強化——特に外部サーバーへのNTLM認証試行をログで監視する。SIEMを導入している環境ではアラートルールを追加しておくと良い。

NTLMの使用状況の棚卸し——現代的なセキュリティアーキテクチャでは、NTLMはKerberosやモダン認証(OAuth 2.0/OIDC)に置き換えるべきだ。この機会に社内環境のNTLM依存状況を整理しておくことを強く勧める。

ネットワークセグメンテーションを見直す——ゼロトラストアーキテクチャの観点から、横移動を防ぐためのセグメント間通信ポリシーを確認する。

筆者の見解

今回の件で一番気になるのは、脆弱性そのものよりも「パッチが不完全だった」という事実だ。CVE-2026-21510はAPT28による実際の攻撃で悪用された、重大性の高い脆弱性だった。それにもかかわらず修正が不完全で、同じ攻撃領域に新たな経路が残り続けた。

Microsoftの脆弱性対応プロセスには、それだけの規模と複雑さを持つシステムを毎月パッチしているという事情があることは理解している。しかし、「修正の完全性を確認するプロセス」が機能しきれていないとすれば、これは個別の失敗ではなく構造的な課題だ。Microsoftにはその課題を正面から向き合うだけの技術力があるはずだし、実際その力を発揮してほしいと思っている。だからこそ、同じ領域に修正漏れが繰り返されることはもったいない。

そして今回あらためて感じたのは、NTLM依存を続けることのリスクだ。Authentication Coercionの脆弱性が繰り返し発見される背景には、NTLMというプロトコルの設計上の限界がある。モダン認証への移行は「いずれやること」ではなく、今すぐ優先すべきセキュリティ投資だ。

Windows環境を守るうえで重要なのは、パッチ適用と長期的なアーキテクチャ改善の両輪を回し続けることだ。今月のパッチを当てながら、同時にNTLM依存を減らす施策を動かす。その二つを並行して進める組織だけが、次の「パッチのパッチ」問題にも素早く対処できる。

出典: この記事は Microsoft patches actively exploited Windows flaw left open by a previous patch の内容をもとに、筆者の見解を加えて独自に執筆したものです。