Microsoftは、Windowsカーネルが持つTCP/IP処理スタックのバグを突くリモートコード実行(RCE)脆弱性「CVE-2026-45657」を、2026年6月のPatch Tuesdayで修正した。認証不要・ユーザー操作なしでSYSTEM権限をリモートから取得できるという、今月の更新プログラムの中で最も深刻な脆弱性の一つだ。

CVE-2026-45657 の概要

本脆弱性はWindowsカーネルのTCP/IP処理に起因する。攻撃者は特別に細工したネットワークパケットを送信するだけで、対象マシンのSYSTEM権限でコードを実行できる。

特に危険なのは以下の3点が重なっていることだ:

  • 認証不要(Unauthenticated): ドメイン参加もログインも不要
  • ゼロクリック(Zero-click): 被害者が何かを開いたり操作したりする必要がない
  • SYSTEM権限取得: OS最高権限でコードが実行される

この組み合わせは「ワーム可能(Wormable)」な脆弱性の典型パターンだ。2017年に猛威を振るったWannaCry(MS17-010/EternalBlue)と同様の性質を持ち、ネットワーク越しに次々と感染を広げる攻撃が理論上成立する。

技術背景:カーネル空間で起きるメモリ破壊

Windowsカーネルは独自のTCP/IPスタックをカーネル空間で実装している。今回の欠陥は特定形式のパケットを受け取った際にメモリ破壊が発生する点にある。処理がカーネル空間内で完結するため、ユーザー空間の保護機構(DEP・ASLR等)を経由せずにSYSTEM権限が直接得られてしまう。

Microsoftは今回のCVEを最高深刻度の「Critical(緊急)」と評価している。

実務への影響——日本のIT管理者がいま取るべき行動

1. パッチを速やかに適用する

ワーム可能なCriticalというカテゴリを踏まえると、通常の「数日様子を見てから」という判断は今回は避けたい。検証期間を短縮してでも、今月のPatch Tuesdayを最優先で展開することを推奨する。

WSUSやMicrosoft Intuneで管理している環境は、承認ステータスを速やかに「インストール済み」に変更しよう。

2. 緊急緩和策:ネットワーク到達性の最小化

パッチ適用までのブリッジとして:

  • インターネット側から不要なTCPポートへの直接アクセスをファイアウォールでブロック
  • DMZやインターネット公開セグメントにあるWindowsサーバーを最優先で保護
  • ゼロトラストアーキテクチャ採用済みの環境では、ネットワーク到達性を最小化できているはずであり相対的に被害範囲が限定されやすい

3. VPNゲートウェイが Windows Server の場合は要注意

VPNゲートウェイ自体がWindowsサーバーで動いている場合、そのゲートウェイが踏み台になりうる。VPN接続で「内側に入れた」状態でこの脆弱性を踏まれると、内部ネットワーク全体に攻撃が波及するリスクがある。

4. サーバーを最優先、クライアントはその次

インターネットやDMZに面したWindows Serverを最優先でパッチ適用する。エンドユーザーのWindowsクライアントは二番手だが、モバイル勤務端末が直接インターネットに接続している場合は同様に急ぐべきだ。

筆者の見解

セキュリティ分野は細かいことが多くて得意ではないと感じることが多いが、こういったカーネルレベルの脆弱性は技術的に純粋に興味深い。TCP/IPスタックに潜むゼロクリックRCEというのは、OSの根幹に触れるリスクであり、ここは真剣に向き合わなければならない。

Microsoftが6月のPatch Tuesdayで修正を提供したことは評価できる。セキュリティパッチの提供体制は近年着実に改善が続いており、その点は素直に認めたい。

一方で、「すぐ当てたら壊れた」という報告が最近増えているのも事実であり、今月のPatch Tuesdayが副作用を生じないかは数日間の報告を注視したい。ただし今回に限っては、ワーム可能なCriticalという重さを踏まえると、副作用リスクよりも未適用リスクの方が明らかに大きい。

今回の脆弱性は「ゼロトラストへの移行を急ぐ理由」をまた一つ追加した。ネットワーク境界防御だけに頼るモデルでは、TCP/IPスタックへの直撃型攻撃に対して根本的に防御しにくい。「VPNで内側に入れば安全」という考え方は、こういった事例のたびに陳腐化していく。Just-In-Timeアクセスやマイクロセグメンテーションへの投資は、こうした深刻な脆弱性が出るたびにその必要性が証明される。

出典: この記事は CVE-2026-45657: Critical Windows Kernel RCE Patch Guide (June 2026) の内容をもとに、筆者の見解を加えて独自に執筆したものです。