ロシアAPT28が悪用したWindowsゼロデイ、パッチ後もNTLM認証強制の穴が残存——CVE-2026-32202が示すパッチ品質の課題

ロシアの国家支援ハッカーグループ APT28（別名：Fancy Bear）がウクライナおよびEU諸国に対する攻撃に悪用した Windows のゼロデイ脆弱性（CVE-2026-21510）。Microsoft は2月の Patch Tuesday でこれを修正したが、その修正が不完全だったことが明らかになった。残存した脆弱性 CVE-2026-32202 は現在も実際の攻撃に使われており、CISA が連邦機関に対して5月12日までの修正を義務付けるほどの深刻度だ。パッチを当てたからといって安心できない——その事実を突きつけられた一件だ。

APT28 による攻撃チェーンの全体像

APT28 は今年1月、CVE-2026-21510 と CVE-2026-21513 を組み合わせた攻撃チェーンを展開した。ウクライナの水文気象センターを装ったフィッシングメールに武器化された LNK ファイルを添付し、被害者がファイルを開くと Microsoft Defender SmartScreen をバイパスしてリモートコード実行（RCE）を実現する巧妙な手口だ。ウクライナの CERT が確認したこの攻撃は、EU 各国にも及んでいた。

Microsoft は2月の Patch Tuesday でこれら2つの CVE を修正した。RCE と SmartScreen バイパスは防がれた——しかし、問題はそこで終わらなかった。

パッチ後も残った「認証強制」の穴

Akamai のシニアセキュリティ研究者 Maor Dahan 氏が2月パッチのテスト中に異変に気づいた。「被害者マシンがまだ攻撃者のサーバーに認証していた」。

これが CVE-2026-32202 だ。Windows Shell における認証強制（Authentication Coercion）の脆弱性で、ゼロクリック——つまり被害者が何も操作しなくても攻撃が成立する。自動解析される LNK ファイルを介して被害者の Net-NTLMv2 ハッシュ（認証情報）が攻撃者サーバーに送信され、攻撃者はそのハッシュを使って被害者になりすましネットワーク内を横断できる。

技術的な核心は「パス解決と信頼検証のギャップ」にある。パッチはファイルの実行を止めたが、Shell がパスを解決する際に自動的に NTLM 認証を試みる動作を塞ぎきれていなかったのだ。Microsoft は4月14日に本 CVE を開示し、4月末に「悪用を検出」と更新。CISA は即座に Known Exploited Vulnerabilities（KEV）カタログに追加し、連邦機関に5月12日までの修正を命じた。

実務への影響

まず確認すべきこと：

• 4月の Windows アップデートを適用済みか確認する（CVE-2026-32202 の修正が含まれる）
• 組織内で NTLM 認証の利用状況を棚卸しする。Kerberos や Modern Authentication への移行計画があるか確認
• 外部サーバーへの NTLM 認証を制限するネットワークポリシーを見直す

中長期での対策：

• グループポリシーで LNK ファイルの自動解析を制限する
• メールゲートウェイで LNK ファイル添付をブロックする（緩和策として有効）
• NTLMv1 を無効化し、NTLMv2 のみに絞った上で、最終的には Kerberos/Modern Auth へ完全移行する

日本の大規模エンタープライズ環境では、オンプレミス Active Directory と旧来の NTLM 依存が根強く残るケースが多い。今回のような「パッチ済みでも認証情報が盗まれる」脆弱性への耐性を高めるには、ゼロトラストアーキテクチャへの移行が本質的な解答だ。VPN で境界を作り、内側を信頼する——その考え方そのものを見直す必要がある。

なお、NTLM ハッシュの窃取は人間ユーザーのアカウントだけでなく、サービスアカウントや自動化処理に使われる Non-Human Identity（NHI）にも直撃する。NHI の認証情報管理が甘い組織ほど、横断移動（ラテラルムーブメント）のリスクが高い。自動化推進の裏側で NHI 管理を後回しにしていると、こういう攻撃の踏み台にされる。

筆者の見解

今回の件で気になるのは、パッチの品質管理プロセスだ。CVE-2026-21510 の修正が RCE と SmartScreen バイパスを防いだことは評価する。だが Akamai の研究者が「パッチをテストしていたら気づいた」という事実が示すように、攻撃の本質的なメカニズム——NTLM 認証が自動的に走る動作——を見落としていた。

Microsoft には世界水準のセキュリティ研究者が揃っている。そのリソースを持っているからこそ、「不完全な修正が攻撃者に次の攻撃ベクターを与えた」という結果はもったいない。関連 CVE 間の影響範囲を横断的に検証するプロセスを強化する余地があるはずだ——応援しているからこそ、正直に言いたい。

もう一点。「パッチを当てたら安全」という思考停止が、今の脅威環境では最も危険だ。適用後も設定の確認とモニタリングの継続が必要なことを、今回の一件は改めて証明した。パッチ管理を「配布して終わり」から「検証して継続監視」へと昇華させることが、現代のセキュリティ運用に求められている。

出典: この記事は Microsoft’s patch for a 0-day exploited by Russian spies fell short. Another Windows flaw is under attack の内容をもとに、筆者の見解を加えて独自に執筆したものです。