SJ blog
security
A

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

CVE-2026-32202:APT28がWindowsシェルの不完全パッチを悪用——LNKファイルを「見るだけ」でNTLMv2ハッシュが盗まれるゼロクリック攻撃

APT28(Fancy Bear)がWindowsシェルの不完全パッチ(CVE-2026-32202)を悪用。フォルダを開くだけでNTLMv2ハッシュが流出するゼロクリック攻撃。CISA KEV登録・5月12日連邦期限。

#security #cve #windows #apt28 #ntlm #zero-click #state-sponsored #credential-theft #lnk

一言結論

CVE-2026-32202はAPT28が積極悪用中のWindowsシェルゼロクリック脆弱性。悪意あるLNKファイルを含むフォルダを参照するだけでNTLMv2ハッシュが攻撃者のSMBサーバーへ送信される。4月2026 Patch Tuesdayで修正済み、CISA KEV登録・連邦機関の修正期限は5月12日。未適用環境は即座にパッチ適用・SMB署名強制・アウトバウンドSMBブロックを実施すること。

何が起きたか

2026年4月28日、CISAがCVE-2026-32202を既知悪用脆弱性カタログ(KEV)に追加した。連邦機関向けの修正期限は2026年5月12日——本稿執筆時点で4日後だ。

この脆弱性は2026年4月Patch Tuesdayで修正されたが、Microsoftは当初「悪用あり」とマークしなかった。セキュリティチームが通常の優先度で扱っていた2週間以上のあいだ、APT28(ロシア連邦軍参謀本部情報総局 GRU 傘下のFancy Bear / Forest Blizzard)が実際に悪用していたことが後から判明した。

同時期にCISAはConnectWise ScreenConnectの経路走査脆弱性(CVE-2024-1708)も同じKEV更新でリスト追加している。APT28はこの二つを連鎖して使う攻撃チェーンを持つとAkamai Threat Labsが報告している。

脆弱性の仕組み:前のパッチの穴を突く

なぜ「不完全なパッチ」が生まれたのか

CVE-2026-32202の直接の原因は、前の脆弱性CVE-2026-21510のパッチが不完全だったことだ。

攻撃の連鎖(APT28の実際の手口):

1. CVE-2026-21513(Windowsシェル名前空間の解析バグ)
   └─ パッチ未適用環境で最初のアクセスに使用

2. CVE-2026-21510(ゼロデイ → 2026年2月パッチ)
   └─ 同様のLNKベースUNCパス解析の問題
   └─ Microsoftがパッチを当てたが...

3. CVE-2026-32202(CVE-2026-21510のバイパス)  ← これが今回の問題
   └─ 2026年4月パッチで修正
   └─ CVSS 4.3(Medium)と評価されたが実害は大

MicrosoftがCVSS 4.3という「中程度」のスコアをつけたために、自動パッチ適用を優先度でフィルタしているチームが後回しにしてしまった。CVSSスコアと実際の攻撃インパクトはしばしば乖離する典型例だ。

攻撃の詳細メカニズム

ゼロクリックでNTLMv2ハッシュが流出する理由

WindowsシェルはLNK(ショートカット)ファイルのアイコンを自動的に解決する。このとき、LNKファイルがUNCパス\\attacker.server\share\icon.ico)を参照していると:

攻撃フロー(ユーザーは何もしなくてよい):

┌─────────────────────────────────────────┐
│ 1. 攻撃者がevil.lnkをメール添付で送付   │
│    または共有ドライブに設置             │
└────────────────┬────────────────────────┘


┌─────────────────────────────────────────┐
│ 2. 被害者がフォルダを開く               │
│    (ファイルをクリックする必要なし!)  │
└────────────────┬────────────────────────┘


┌─────────────────────────────────────────┐
│ 3. Windows Explorerがアイコン解決を試みる│
│    LNK内のUNCパスを自動的に解析         │
│    → \\10.13.37.1\share\icon.ico        │
└────────────────┬────────────────────────┘


┌─────────────────────────────────────────┐
│ 4. SMB接続が攻撃者サーバーへ自動確立    │
│    Windows自動認証ハンドシェイク発生     │
│    NTLMv2チャレンジ・レスポンス送信      │
└────────────────┬────────────────────────┘


┌─────────────────────────────────────────┐
│ 5. 攻撃者がNet-NTLMv2ハッシュ取得       │
│    → オフラインクラック or NTLMリレー攻撃│
└─────────────────────────────────────────┘

NTLMv2ハッシュから何ができるか

取得したNet-NTLMv2ハッシュの悪用経路:

A) オフラインクラック
   hashcat -m 5600 captured.hash wordlist.txt
   → 弱いパスワードなら数分〜数時間で平文を回収
   → クラックしたパスワードで直接ログイン

B) NTLMリレー攻撃(SMBsigning未設定環境)
   → ハッシュをリアルタイムで別サービスへリレー
   → SMB署名が無効なファイルサーバーへの不正アクセス
   → Active Directoryの不正操作(SMBリレー→DCSync攻撃)

C) Pass-the-Hash(特定条件下)
   → NTLMv1環境ならハッシュをそのまま認証に使用可

影響範囲の確認

まず自環境のパッチ適用状況を確認する。

PowerShellで対象CVEのパッチ確認:

# 2026年4月Patch Tuesdayが適用済みか確認
$patch = Get-HotFix | Where-Object { $_.HotFixID -eq "KB5036893" }
if ($patch) {
    Write-Host "✅ KB5036893 適用済み(CVE-2026-32202修正済み)" -ForegroundColor Green
} else {
    Write-Host "❌ 未適用!即座に Windows Update を実行してください" -ForegroundColor Red
}

# より詳細なビルド番号確認(Windows 11 22H2以降)
$build = [System.Environment]::OSVersion.Version
Write-Host "現在のビルド: $($build.Major).$($build.Minor).$($build.Build)"
# Windows 11 23H2: 22631.3527以上が修正済み
# Windows 10 22H2: 19045.4291以上が修正済み

緩和策(優先度順)

1. 即時対応:4月2026 Patch Tuesdayの適用

# 管理者権限のPowerShellで強制更新
Install-Module PSWindowsUpdate -Force
Import-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

2. SMB署名の強制(NTLMリレー防止)

# ドメインコントローラーへのGPOでSMB署名を強制
# グループポリシー:
# コンピューターの構成 → Windowsの設定 → セキュリティの設定
# → ローカルポリシー → セキュリティオプション
# 「Microsoft ネットワーク サーバー: 通信にデジタル署名を行う(常に)」→ 有効

# PowerShellで直接設定(単一マシン)
Set-SmbServerConfiguration -RequireSecuritySignature $true -Force
Set-SmbClientConfiguration -RequireSecuritySignature $true -Force

3. アウトバウンドSMBのネットワークブロック

# ファイアウォールルール(Windowsファイアウォール)
netsh advfirewall firewall add rule ^
  name="Block Outbound SMB" ^
  dir=out ^
  action=block ^
  protocol=tcp ^
  remoteport=445 ^
  remoteip=!192.168.0.0/16,!10.0.0.0/8,!172.16.0.0/12

# 境界ファイアウォール(ルーター/UTM)
# アウトバウンドTCP 445をDMZ・インターネット向けにブロック
# 社内SMBトラフィックは内部レンジのみ許可

4. NTLM使用の監査と制限

# NTLM認証の発生を監視(イベントID 4624でLogonType=3かつPackage=NTLM)
$events = Get-WinEvent -FilterHashtable @{
    LogName   = 'Security'
    Id        = 4624
    StartTime = (Get-Date).AddHours(-24)
} | Where-Object {
    $_.Properties[8].Value -match "NTLM"
}

$events | Select-Object TimeCreated,
    @{N='Account'; E={ $_.Properties[5].Value }},
    @{N='WorkStation'; E={ $_.Properties[11].Value }},
    @{N='IPAddress'; E={ $_.Properties[18].Value }}

5. LNKファイルの監視(侵害指標の検出)

# LNKファイルがUNCパスを含む場合にアラート
$suspiciousLnk = Get-ChildItem -Path "C:\Users" -Recurse -Filter "*.lnk" |
    ForEach-Object {
        $content = [System.IO.File]::ReadAllBytes($_.FullName)
        $text = [System.Text.Encoding]::Unicode.GetString($content)
        if ($text -match '\\\\[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}') {
            [PSCustomObject]@{
                File    = $_.FullName
                Created = $_.CreationTime
                UNCPath = ($text | Select-String '\\\\[\d\.]+\\[^\s]+').Matches.Value
            }
        }
    }

if ($suspiciousLnk) {
    Write-Warning "UNCパスを含むLNKファイルを検出!"
    $suspiciousLnk | Format-Table -AutoSize
}

DevOps・開発チームへの影響

CI/CDパイプラインのWindows Runnerに注意

# GitHub Actions / Azure DevOps のWindows runnerは
# 組織のパッチポリシーに依存しない独立した環境
# → CI/CDがWindowsホスト型の場合はランナーイメージの更新を確認

# Azure DevOps: Microsoft-hosted agentsは自動更新される
# GitHub Actions: windows-latest は自動更新される
# セルフホストRunner: 手動でパッチ適用が必要!

# セルフホストRunnerの確認
# windows-runner ホストでPowerShellを実行:
Get-HotFix -Id KB5036893

リモート開発環境(VS Code Remote / SSH)

リモート接続先がWindowsマシンの場合、そのマシン自体が攻撃ターゲットになりうる。特に:

  • 開発者の共有開発VM
  • ビルドサーバー
  • コードレビュー用の共有環境

これらはパッチ適用が見落とされやすい。

APT28の標的:ウクライナ・EU政府機関が主要ターゲット

Akamai Threat Labsの分析によると、このキャンペーンは主に:

  • ウクライナ政府・軍事組織
  • EU加盟国の政府ネットワーク
  • NATO関連組織

を標的にしているが、APT28は機会主義的なスパイ活動も行うため、防衛産業・エネルギー・金融セクターも注意が必要だ。

注意点・未確認事項

  • CVSS 4.3と実態の乖離: CVSSスコアはゼロクリックの性質・NTLMリレーへの悪用可能性を完全に反映していない。実際のリスクはスコアより高い。
  • パッチのみでは不十分: SMB署名強制とアウトバウンドSMBブロックをセットで実施しないとリレー攻撃のリスクが残る。
  • macOS/Linux: 本脆弱性はWindowsシェル固有。ただし、Windows共有フォルダをマウントしているLinux/macOS環境経由でのラテラルムーブメントは引き続き注意。

まとめ

CVE-2026-32202は「スコアが低いから後回し」という典型的な誤りを突いた脆弱性だ。CVSS 4.3という中程度のスコアにもかかわらず、ゼロクリックで国家支援攻撃者がNTLMv2ハッシュを盗み、その後の横断移動・権限昇格に使う実害が確認されている。

連邦機関の5月12日期限は過ぎてしまうが、民間企業も同等の緊急度で対処すべきだ。パッチ適用→SMB署名強制→アウトバウンドSMBブロックの3点セットで対処する。

参考リンク

注記: 本稿は2026年4月28日〜5月8日時点の公開情報に基づく。攻撃チェーンの詳細はAkamaiの研究レポートを第一次情報源とする。