2026年2月11日のPatch Tuesdayで修正されたCVE-2026-21533は、Windows Remote Desktop Services(RDS)のサービス構成キーを攻撃者制御のキーに置換することで、低権限ユーザーからSYSTEM権限への特権昇格を実現する脆弱性である。CrowdStrikeが2025年12月24日から米国・カナダの組織を標的とした実攻撃を確認しており、CISAはKEVカタログに追加し2026年3月3日までの修正を義務付けた。本記事ではテクノロジーの視点から、この攻撃チェーンの技術的メカニズムを解析する。

CVE-2026-21533の技術プロファイル

CVE-2026-21533はCWE-269(Improper Privilege Management)に分類される特権昇格脆弱性である。NVDが公開した公式評価では、CVSS v3.1ベーススコアは7.8(High)、攻撃ベクターはAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hとなっている。

このベクターが示す攻撃条件を分解すると以下のようになる。

  • Attack Vector: Local(AV:L) — リモートから直接悪用するものではなく、ローカルアクセスが前提。ただしRDP経由のセッション確立後に実行可能であるため、実質的にはリモートからの攻撃チェーンに組み込まれる
  • Attack Complexity: Low(AC:L) — 特殊な前提条件や競合状態を必要としない。再現性が高い
  • Privileges Required: Low(PR:L) — 標準ユーザー権限で十分。ドメイン管理者権限は不要
  • User Interaction: None(UI:N) — 被害者側の操作を一切必要としない
  • Impact: C:H/I:H/A:H — 機密性・完全性・可用性すべてに高い影響

影響範囲はWindows 10(1607、1809、22H2)、Windows 11(23H2、24H2、25H2、26H1)、Windows Server 2012 R2からWindows Server 2025まで広範にわたる。RDSが有効化されている環境であれば、デスクトップ版・サーバー版を問わず影響を受ける。

攻撃チェーンの技術的メカニズム

CVE-2026-21533の攻撃チェーンは、Windowsサービスのレジストリ構成を悪用する古典的な特権昇格パターンの変種であるが、RDSコンポーネントに固有の権限管理の不備を突いている点が特徴的である。CrowdStrikeが公開した分析に基づき、攻撃フローを段階的に整理する。

Phase 1: 初期アクセスの確立

攻撃者はフィッシング、マルウェア、ラテラルムーブメント等の手段で、ターゲットシステム上に標準ユーザー権限のセッションを確立する。RDPセッション経由での接続が典型的なシナリオとなる。この時点では攻撃者の権限はドメインユーザーまたはローカルの標準ユーザーに留まる。

Phase 2: サービス構成キーの改ざん

攻撃のコアとなるフェーズである。エクスプロイトバイナリは、RDS関連サービスのレジストリキー(HKLM\SYSTEM\CurrentControlSet\Services\TermService配下)に対して構成パラメータの改ざんを行う。具体的には、サービスのバイナリパス(ImagePath)、起動引数、サービスアカウントコンテキスト(ObjectName)といった値を攻撃者制御のキーに置換する。CrowdStrikeは「エクスプロイトバイナリがサービス構成キーを改ざんし、攻撃者制御のキーに置換する」と報告している。

この改ざんが成立する根本原因は、RDSコンポーネントにおけるサービス構成レジストリキーのACL(Access Control List)設定が不適切であったことにある。本来、HKLM\SYSTEM\CurrentControlSet\Services\配下のキーはSYSTEMおよびAdministratorsグループにのみ書き込み権限が付与されるべきだが、TermService関連の特定キーにおいて標準ユーザーにも書き込み可能な権限が設定されていた。

Phase 3: SYSTEM権限での任意コード実行

改ざんされたサービス構成に基づき、次回のサービス再起動時(または攻撃者がサービスの再起動をトリガーした時)に、攻撃者が指定したバイナリがSYSTEMコンテキストで実行される。WindowsサービスはデフォルトでLocalSystem(NT AUTHORITY\SYSTEM)として動作するため、改ざんされたパスのバイナリもSYSTEM権限で起動する。

Phase 4: Administrator追加による永続化

SYSTEM権限を取得した攻撃者は、ローカルAdministratorsグループに新規ユーザーを追加する。これにより、エクスプロイトの痕跡を消去した後も持続的な管理者アクセスが維持される。CrowdStrikeの観測では、net user /addおよびnet localgroup administrators /addコマンドの実行が確認されている。

CrowdStrikeが観測した実攻撃の時系列

CrowdStrikeの脅威インテリジェンスチームは、CVE-2026-21533のエクスプロイトバイナリを2025年12月時点で捕捉し、Microsoftに報告していた。攻撃の時系列は以下のとおりである。

  • 2025年12月24日以前 — エクスプロイトバイナリが作成され、公開マルウェアリポジトリで発見される。Acros Securityもこの時点でゼロデイとして認識していたとされる
  • 2025年12月24日〜2026年2月10日 — 米国およびカナダの組織を標的とした実攻撃が継続。約45日間のゼロデイ期間
  • 2026年2月11日 — Microsoft Patch Tuesdayで修正パッチがリリース
  • 同日 — CISAがKEV(Known Exploited Vulnerabilities)カタログに追加。連邦政府機関に2026年3月3日までの修正を義務付け

筆者はセキュリティインシデント対応の実務経験から断言するが、45日間の潜伏期間は攻撃者にとって十分な時間である。インシデント対応では1秒の判断遅れが被害範囲を指数関数的に拡大させるが、45日間のゼロデイウィンドウはその「1秒」が積み重なった帰結にほかならない。CrowdStrike Intelligenceも「Microsoftによる公開は、CVE-2026-21533のエクスプロイトバイナリを保有する脅威アクターに対し、短期的にエクスプロイトの利用または収益化を促進する可能性がほぼ確実である」と警告している。

検知戦略と防御指標

CVE-2026-21533の攻撃チェーンを検知するための技術的指標を整理する。SOC運用においてアラートルールを構築する際の参考となるだろう。

レジストリ監視(最重要)

以下のレジストリパスに対する書き込み操作を監視する。特に、SYSTEM以外のアカウントによる変更は即座にアラートを発報すべきである。

  • HKLM\SYSTEM\CurrentControlSet\Services\TermService\ImagePath
  • HKLM\SYSTEM\CurrentControlSet\Services\TermService\ObjectName
  • HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters\

Sysmonを導入済みの環境では、Event ID 12/13/14(Registry事象)でこれらのパスを監視する。

プロセス実行監視

攻撃チェーンの各フェーズで以下のコマンド実行が観測される。

  • sc.exe config / sc.exe sdset — サービス構成の変更
  • reg.exe add — レジストリキーの直接操作
  • net user /add — 新規ユーザーの作成
  • net localgroup administrators /add — Administratorsグループへの追加

Windowsイベントログ

以下のEvent IDを重点的に監視する。

  • Event ID 4732 — セキュリティ有効なローカルグループにメンバーが追加された場合に記録される。Administratorsグループへの予期しない追加はPhase 4の確定的指標となる
  • Event ID 4733 — グループからメンバーが削除された場合。攻撃者が痕跡消去を試みた場合に発生
  • Event ID 7045 — 新規サービスのインストール。改ざんされたサービス構成による不正サービスの検知

筆者の経験上、SOCの価値はツールの精度ではなく、アラートから判断に至るまでの人間のプロセスにある。上記の検知指標を設定するだけでは不十分であり、アラート発報後の初動手順を事前にドライランしておくことが実効性を決める。

修正パッチの適用と影響範囲の再評価

Microsoftが2026年2月11日にリリースした修正パッチは、TermService関連レジストリキーのACL設定を適正化し、標準ユーザーによる書き込みを拒否するものである。パッチ適用後は、Phase 2のサービス構成キー改ざんが権限不足で失敗するようになる。

ただし、以下の点に注意が必要である。

  • 既に侵害された環境の復旧 — パッチ適用は今後の攻撃を防ぐが、既にAdministratorsグループに追加された不正ユーザーは除去されない。パッチ適用と並行して、ローカルAdministratorsグループのメンバーシップ棚卸しを実施すべきである
  • レジストリキーの整合性確認TermServiceのImagePathが%SystemRoot%\System32\svchost.exe -k NetworkService(デフォルト値)であることを確認する。改ざんされた値が残存している場合は侵害の証拠となる
  • 影響バージョンの網羅的確認 — Windows Server 2012 R2からWindows Server 2025まで広範に影響するため、レガシーサーバーを含むすべてのRDS有効環境でパッチ適用状況を確認する必要がある

脆弱性診断とペネトレーションテストの実務で痛感してきたことだが、マルチプラットフォーム環境では各プラットフォーム固有の攻撃面を個別に理解する必要がある。CVE-2026-21533はWindowsサービスのレジストリ構成という、Windowsに固有の攻撃面を突いたものであり、Linux上のRDP代替サービス(xrdpなど)には影響しない。環境全体のリスク評価においては、この差異を正確に把握した上でパッチ優先度を決定すべきである。

FAQ

CVE-2026-21533はリモートから直接悪用できるのか?

いいえ。CVSSベクターのAttack VectorはLocal(AV:L)であり、攻撃者はまずターゲットシステム上にローカルセッション(RDP接続含む)を確立する必要がある。ただしRDP経由のリモートセッション確立後にエクスプロイトを実行できるため、実質的にはリモート攻撃チェーンの一部として機能する。

パッチ適用だけで安全になるか?

パッチ適用は今後の攻撃を防止するが、2025年12月24日以降に侵害された可能性がある環境では、ローカルAdministratorsグループのメンバーシップ監査、TermServiceレジストリキーの整合性確認、不審なユーザーアカウントの棚卸しを並行して実施すべきである。

RDPを無効化していれば影響を受けないか?

RDSコンポーネント(TermService)がインストールされていてもRDPが無効化されている場合、リモートからの攻撃チェーンは成立しにくい。ただし脆弱なレジストリキーのACL自体は存在するため、ローカルアクセスを持つ攻撃者による悪用は理論上可能である。パッチ適用が推奨される。

CISAのKEV対応期限はいつか?

CISAは2026年2月11日にCVE-2026-21533をKEVカタログに追加し、連邦政府機関に対して2026年3月3日までの修正適用を義務付けた(BOD 22-01に基づく)。民間組織にも同水準の対応が強く推奨される。

参考文献