MicrosoftがWindows 11(24H2/25H2)およびWindows Server 2025に影響する権限昇格の脆弱性CVE-2026-20870を修正するパッチを6月のPatch Tuesdayで提供した。Win32カーネルサブシステムに存在するUse After Free(解放済みメモリの参照)に起因するこの欠陥は、ローカルで認証済みの攻撃者がSYSTEM権限への昇格を実現できる。
脆弱性の技術的概要
CVE-2026-20870のCVSSスコアは7.0(High)。スコアの内訳を見ると、攻撃ベクターはローカル(AV:L)、攻撃複雑度は低(AC:L)、必要な認証はシングル(Au:S)、機密性・完全性・可用性への影響はいずれも完全(C:C/I:C/A:C)となっている。
「ローカル実行が前提」という条件から軽視されがちだが、実際の攻撃チェーンでは注意が必要だ。フィッシングや悪意あるWebサイト、不正なアプリケーションを経由してコード実行の糸口をつかんだ攻撃者が、このような権限昇格の脆弱性を組み合わせることで一般ユーザー権限→SYSTEM権限への昇格を実現する手口は珍しくない。
根本的な問題はCWE-416(Use After Free)だ。解放済みのカーネルメモリ領域を参照・操作できる状態は、Windows カーネルの信頼境界を崩すきわめて深刻なクラスの欠陥に分類される。
影響を受けるバージョンと修正パッチ
対象 更新プログラム
Windows 11 24H2 KB5074109
Windows 11 25H2 KB5074109
Windows Server 2025(24H2) KB5073379
Windows Updateから自動適用される環境であれば、すでに適用済みのケースが多い。手動管理している環境や、組織のWSUS/Intuneで展開スケジュールを組んでいる場合は、早急に適用計画を確認してほしい。
実務への影響
エンドポイント管理者が今すぐ確認すべきこと
- Windows 11 24H2/25H2の展開済み端末への適用状況確認: IntuneやMECM(SCCM)のコンプライアンスレポートで、KB5074109の適用率を把握する。特に持ち歩きの多いノートPCはVPN接続時にしかWSUSに通信しない設定になっていないかを見直す。
- Windows Server 2025環境のKB5073379確認: サーバーは再起動タイミングの関係でパッチ適用が遅れがちだ。メンテナンスウィンドウのスケジュールを再確認してほしい。
- 脆弱性の特性上、多段攻撃への備えを: 「ローカル実行が必要」は「安全」を意味しない。EDR製品のアラート設定や異常な権限昇格の検知ルールが有効になっているか合わせて確認したい。
Just-In-Timeアクセスの観点から
この種の脆弱性は、常時特権アカウントでログインしている運用形態で被害が拡大しやすい。管理作業時だけ昇格するJust-In-Time(JIT)アクセスモデルが組み込まれていれば、仮にWin32カーネルに欠陥があっても攻撃者が昇格できる機会を制限できる。Entra IDのPIM(Privileged Identity Management)やWindows LAPSと組み合わせた特権管理の再点検を、このタイミングで行うことを推奨したい。
筆者の見解
Rapid7の2026年版グローバル脅威レポートが指摘しているように、「脆弱性の公開から悪用まで数日」という時代に入っている。「まだ攻撃事例が確認されていないから大丈夫」という判断軸はもはや通用しない。
Windowsのパッチ適用については「すぐ当てたら壊れた」という報告が増えていることも事実で、数日様子を見る判断が一概に間違いとは言えない。ただしセキュリティ系の修正に関しては、リスクの天秤は明らかにパッチ適用側に傾く。「様子見」のコストを組織として意識的に計算した上で、できる限り速やかに適用できる体制を整えておくことが重要だ。
根本的な話をすると、ネットワーク層・認証層・認可層を3層で守るゼロトラストアーキテクチャが整っていれば、カーネルの権限昇格脆弱性が即座に組織全体のクライシスに直結するリスクを大幅に下げられる。個々のパッチ対応はもちろん大切だが、「今動いているから大丈夫」という前提で設計された環境を根本から見直す機会として、こうした脆弱性の公開を捉えてほしい。
出典: この記事は Microsoft Windows: CVE-2026-20870 — Win32 Kernel Subsystem Elevation of Privilege の内容をもとに、筆者の見解を加えて独自に執筆したものです。