【Windows管理者向け】7月14日にKerberos RC4ロールバックキーが完全削除、Defenderの脆弱性「RoguePlanet」対策も急務に
2026年7月13日 21:51
Windowsのシステム管理者に対し、2026年7月14日(米国時間)に重要なデッドラインが迫っている。同日の累積更新プログラムの適用により、Kerberos RC4暗号化のロールバックを可能にしていたレジストリキーが完全に削除される。また、Windows Defenderのゼロデイ脆弱性「RoguePlanet」への対処や、SharePoint Serverの脆弱性対策など、今週のパッチサイクルで確認すべきセキュリティ対応について解説する。
■RoguePlanetの修正パッチ適用状況を確認せよ
Microsoftは2026年7月8日および9日に、Windows Defenderの特権昇格の脆弱性「RoguePlanet」(CVE-2026-50656)に対処する定例外のエンジンアップデートを配信した。この修正は「Microsoft Malware Protection Engine」のバージョン 1.1.26060.3008 で提供され、通常の月例パッチサイクルとは異なる自動更新チャネルを通じて配信された。デフォルト設定のほとんどのエンドポイントには、7月8日から10日の間に管理者の操作なしで自動適用されている。
しかし、インターネットから隔離された「エアギャップ」環境のネットワーク、自動更新を無効にしているシステム、あるいはオフラインのアップデートリポジトリで管理されているエンドポイントには、このエンジンアップデートが自動適用されていない。これらのマシンは依然として脆弱なバージョン 1.1.26050.11 のままであり、手動でのアップデート実行が必要となる。
管理者は、Windows セキュリティ、PowerShellコマンド「Get-MpComputerStatus」、またはエンドポイント管理プラットフォームを通じて、インストールされているエンジンのバージョンを確認できる。バージョン 1.1.26060.3008 未満のシステムは未対策の状態だ。
CVE-2026-50656のCVSSスコアは7.8であり、悪用には標準ユーザー権限によるローカルアクセスのみが必要とされる。この脆弱性は、Malware Protection Engineのファイル処理ロジックにおけるレースコンディション(競合状態)に起因する。攻撃者が制御するパスを標的としたNTFSリパースポイントを配置し、エンジンがパスを検証してから実際にアクセスするまでのわずかな隙にそれを切り替えることで悪用される。結果として、Windowsにおける最高特権レベルである「NT AUTHORITY\SYSTEM」としてコマンドプロンプトが実行されることになる。セキュリティ研究者のNightmare Eclipse氏は、Microsoftが過去最大規模の6月月例パッチを配信したのと同じ2026年6月10日に、実証コード(PoC)を公開していた。
■リアルタイム保護の無効化では防げない理由
RoguePlanetの最も直感に反する特徴は、ウイルス対策エージェントを無効化しても回避策にならない点である。Nightmare Eclipse氏も、Microsoft Defenderのリアルタイム保護が有効、無効、またはパッシブモードのいずれであっても実証コードが動作することを確認している。
これは設計上の仕様によるものである。この脆弱性は、スケジュールスキャン、オンデマンドスキャン、隔離処理など、あらゆるスキャン実行時に動作するMalware Protection Engineのファイル処理ロジック自体に存在する。リアルタイム保護はエンジンが動作する複数のモードの1つにすぎず、これを無効にしてもエンジンの呼び出し自体を防ぐことはできない。
セキュリティスキャナーはその性質上、保護されたシステムディレクトリ内の脅威を削除または隔離するために、SYSTEMレベルの特権で動作する必要がある。そのため、エンジンのファイル処理コードパスに欠陥があれば、それがそのまま特権昇格のベクトルになり得る。RoguePlanetはDefender特有の奇妙なバグではなく、この種の設計に共通して発生する脆弱性の一例である。
6月10日の実証コード公開から7月8〜9日のパッチ配信までの29日間にわたり、実質的に悪用可能な状態が続いていた。セキュリティチームは、この期間中のエンドポイントのテレメトリを調査し、「MsMpEng.exe」がインタラクティブなコマンドシェルやスクリプトホスト、予期しない子プロセスを起動していないか確認する必要がある。通常、Defenderがこのようなプロセスツリーを生成することはなく、該当するログがあれば侵害の痕跡(IoC)として扱うべきである。
■Kerberos RC4と7月14日のロールバック廃止期限
2026年7月14日(米国時間)にドメインコントローラーへ累積更新プログラムが適用されると、Windowsはレジストリキー「RC4DefaultDisablementPhase」を完全に削除する。これは、Kerberosの動作を2026年4月の基準値にロールバックするための一時的な救済措置だった。このキーが削除された後は、ドメイン全体の構成変更による復旧は不可能となる。RC4のみに依存するKerberosキー素材を使用しているアカウントは認証に失敗し、アカウントごとに個別に対処するしかなくなる。
これは2026年1月から段階的に進められてきた非推奨化プロセスの最終段階である。RC4で暗号化されたKerberosサービチケットは、ドメインユーザーであれば誰でも取得してオフラインで解析できる脆弱性(CVE-2026-20833、いわゆる「Kerberoasting」)が存在する。RC4-HMACはAESよりも暗号強度が弱いため、一般的なハードウェアを使用すれば、中程度の複雑さのパスワードであっても数時間で解読されるリスクがある。
影響を最も受けやすいシステムには、更新されていないWindows Server 2012 R2ドメインコントローラー、ドメイン認証にRC4を使用しているレガシーなネットワーク機器やプリンター、Active Directoryへの認証にRC4 Kerberosを使用しているサードパーティ製エンタープライズアプリケーション(SAP、Oracle、カスタムビルドシステムなど)が含まれる。4月に認証エラーが発生し、一時的な回避策としてロールバックキーを使用していた組織では、その猶予が7月14日に終了することになる。
管理者が取るべき診断手順は明確である。ドメインコントローラーのシステムイベントログで、RC4チケット要求を記録する「イベントID 205」を確認すること、AESキーが生成されていないサービスアカウントのパスワードリセットを強制すること、そしてパッチ適用前に重要なサービスアカウントの「msDS-SupportedEncryptionTypes」属性が正しく設定されているか検証することである。
■SharePointの脆弱性対策も猶予なし
SharePoint Serverのデシリアライズによるリモートコード実行の脆弱性「CVE-2026-45659」は、2026年5月の定例外パッチを適用していない組織において、依然としてアクティブな攻撃対象となっている。米国土安全保障省公認のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、これを「悪用が確認された脆弱性(KEV)」カタログに追加している。
この脆弱性の開示プロセスには注意が必要である。Microsoftは2026年5月後半に定例外アップデートとしてパッチを配信したが、セキュリティ情報が公開されたのはパッチ配信から数週間後の5月21日だった。そのため、通常の月例パッチ(Patch Tuesday)のセキュリティ情報を基準に優先順位を判断している組織では、対策が遅れた可能性がある。
SharePoint環境でドキュメントの編集権限を持つ標準的なユーザー(サイトメンバー権限など)であれば、この脆弱性を悪用してSharePointサーバー上で任意のコードを実行できる。侵害されたSharePointサーバーは、単なるファイルストレージの漏洩にとどまらず、企業コラボレーション環境全体の資格情報やドキュメントデータにアクセスするための足がかりとなるため、早急なパッチ適用が必要である。
■7月14日に向けたアクションチェックリスト
1. RoguePlanetの適用状況を最優先で確認する:管理対象のすべてのエンドポイントで、Microsoft Malware Protection Engineのバージョンが 1.1.26060.3008 以上であることを確認する。自動更新が無効な環境や隔離環境では手動での更新が必要となる。また、6月10日から7月8日の間に「MsMpEng.exe」が不審な子プロセスを起動していないかテレメトリを調査する。
2. 累積更新の前にKerberos RC4の対処を完了する:ドメインコントローラーに7月14日の累積更新が適用されると、RC4ロールバックキーは消失する。システムログの「イベントID 205」を確認し、AESキーが生成されていないサービスアカウントのパスワードリセットを強制する。レガシー機器やサードパーティ製ソフトウェアの動作テストを事前に実施する。
3. SharePointのパッチ適用ステータスを独自に検証する:CVE-2026-45659は現在も悪用されている。SharePoint Server(Subscription Edition、2019、Enterprise 2016)の各インスタンスのビルドバージョンが、修正済みのビルド番号に達しているか確認する。
なお、7月の月例パッチ(Patch Tuesday)の配信は、米国東部時間(ET)の2026年7月14日午後1時(日本時間:2026年7月15日午前2時)から開始される予定である。
■注目ポイントQ&A
●2026年7月14日以降、RC4を使い続けているサービスアカウントはどうなりますか?
7月14日の累積更新プログラムがドメインコントローラーにインストールされると、ロールバック用のレジストリキー「RC4DefaultDisablementPhase」が完全に削除されます。これにより、Kerberosの暗号化にRC4のみを使用しているサービスアカウントは認証に失敗し、ドメイン全体での救済策はなくなります。その後はアカウント個別に対処するしかありません。
●Microsoft Defenderのリアルタイム保護を無効にしても、なぜRoguePlanetを防げないのですか?
この脆弱性はリアルタイム監視機能ではなく、スキャン処理全般を実行する「Malware Protection Engine」のファイル処理ロジック自体に存在するシステムレベルの競合状態(TOCTOU)であるためです。スケジュールスキャンやオンデマンドスキャンが実行されるだけで脆弱性が誘発される可能性があり、リアルタイム保護を無効にしてもエンジンの動作自体は停止しません。
●エンドポイントにRoguePlanetの修正パッチが適用されているか確認するにはどうすればよいですか?
「Microsoft Malware Protection Engine」のバージョンを確認してください。Windows セキュリティの「ウイルスと脅威の防止」から「保護の更新」を開き、エンジンのバージョン番号を確認するか、PowerShellで「Get-MpComputerStatus」を実行して「AMEngineVersion」の項目を確認します。バージョンが「1.1.26060.3008」以上であれば対策済みです。
●Kerberoastingとは何ですか?なぜRC4を使用すると危険性が高まるのですか?
Kerberoastingは、特別な権限を持たない一般ドメインユーザーがサービスアカウントのKerberosチケットを要求し、その暗号化されたチケットをオフラインで解析してパスワードを解読する攻撃手法です。RC4-HMAC暗号はAESに比べて暗号強度が弱いため、一般的なハードウェアを使用した場合の解読速度が極めて速く、短時間でパスワードが破られるリスクが高まります。