CVE-2026-56155|AD FS 権限昇格の悪用確認と対処の手順

  • URLをコピーしました!

はじめに

2026 年 7 月 14 日(米国時間)の月例セキュリティ更新プログラムで、Active Directory Federation Services(AD FS)の権限昇格脆弱性 CVE-2026-56155 が修正されました。本脆弱性は公開時点ですでに実際の攻撃での悪用が確認されており、同日付で CISA の Known Exploited Vulnerabilities(KEV)カタログにも登録されています。

AD FS はオンプレミス Active Directory とクラウドサービスを連携させるフェデレーション認証の基盤であり、シングルサインオン(SSO)の中核を担うサーバーです。ID 基盤である AD FS サーバーでの権限昇格は、フェデレーション信頼全体への影響につながりかねないため、単なる「サーバー 1 台の脆弱性」として扱うのはリスクがあります。

この記事でわかること
  • CVE-2026-56155 の技術的な概要と CVSS スコアの読み解き方
  • 影響を受ける Windows Server/Windows 10 のバージョンと適用すべき KB
  • CISA KEV 登録の内容と対応期限(2026 年 7 月 28 日)
  • パッチ適用前に推奨する侵害有無の確認ポイント
  • AD FS ファーム構成(プライマリ/セカンダリ)での更新手順と適用後の確認

先に結論をまとめます。本脆弱性はローカルアクセスと低権限を前提とするものの、悪用が確認済みであり、修正方法はセキュリティ更新プログラムの適用のみです(回避策は提供されていません)。また、発見の経緯から実際のインシデント対応の過程で特定された可能性が高く、パッチ適用と併せて、適用前の侵害有無の確認を行うことを推奨します

CVE-2026-56155 の概要(AD FS 権限昇格)

CVE-2026-56155 は、AD FS におけるアクセス制御の粒度不足(CWE-1220: Insufficient Granularity of Access Control)に起因する権限昇格の脆弱性です。認証済みの攻撃者がローカルで権限を昇格でき、悪用に成功した場合は管理者権限の取得につながります。

参考: Microsoft Security Response Center(CVE-2026-56155)
“Insufficient granularity of access control in Active Directory Federation Services (AD FS)”
(Active Directory フェデレーションサービス(AD FS)におけるアクセス制御の粒度不足)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56155

Microsoft は本脆弱性の悪用手法の詳細を公開していませんが、アドバイザリでは「悪用の事実を確認済み(Exploitation Detected)」かつ「実用的な悪用コードが存在(Exploit Code Maturity: Functional)」と評価されています。深刻度レーティングは Critical ではなく Important ですが、悪用済みという事実がある以上、レーティングのみで優先度を判断するのは避けたほうがよいでしょう。

CVSS 7.8 と CWE-1220 の読み解き

CVSS 3.1 のベーススコアは 7.8 で、ベクター文字列は CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H です。実務上のポイントを整理します。

  • AV:L(ローカル): ネットワーク越しに直接悪用できる脆弱性ではなく、攻撃者がすでに AD FS サーバー上でコードを実行できる状態が前提となります。
  • PR:L(低い特権): 管理者権限は不要で、一般ユーザー相当の権限があれば悪用可能です。
  • UI:N・AC:L: ユーザーの操作は不要で、攻撃の複雑さも低いと評価されています。
  • C:H/I:H/A:H: 悪用に成功すると機密性・完全性・可用性のすべてに高い影響が及びます。

「ローカル・要認証」という条件だけを見ると優先度を下げたくなりますが、注意したいのは AD FS サーバーが攻撃チェーンの中間地点として狙われやすいという点です。フィッシングや別の脆弱性(RCE)で低権限の足がかりを得た攻撃者が、本脆弱性で管理者権限へ昇格するという組み合わせは、ランサムウェア攻撃で頻繁に見られるパターンです。

参考: Zero Day Initiative(The July 2026 Security Update Review)
“AD FS is exactly the kind of identity infrastructure attackers love to pivot through”
(AD FS はまさに、攻撃者が侵入後の足がかりとして好んで経由する種類の ID 基盤である)
https://www.zerodayinitiative.com/blog/2026/7/14/the-july-2026-security-update-review

また、AD FS はトークン署名証明書を保持しており、これが窃取されると任意のユーザーになりすませる SAML トークンを偽造される、いわゆる Golden SAML 型の攻撃につながるおそれがあります。AD FS サーバー上での管理者権限の取得は、そのサーバー 1 台の侵害にとどまらず、フェデレーション信頼で接続されたクラウドサービス全体への波及リスクを意味します。

DART クレジットが示唆するもの

本脆弱性の発見者として、Microsoft のインシデント対応部門である DART(Detection and Response Team)の Jeremy Kingston 氏と Scott Clark 氏がクレジットされています。DART は実際のセキュリティインシデントの調査・対応を担う部門であり、このクレジットは実環境での攻撃調査の過程で本脆弱性が特定された可能性が高いことを示唆します。

つまり、パッチ公開前から本脆弱性を利用した攻撃が現実に発生していたと考えるのが自然です。この点は、後述する「パッチ適用前の侵害有無の確認」が重要になる根拠でもあります。パッチの適用は今後の悪用を防ぎますが、すでに侵入済みの攻撃者を排除する効果はないためです。

影響を受けるバージョンと修正ビルド

CVE-2026-56155 の影響対象は、AD FS の役割をサポートする Windows Server 系 OS を中心に、Windows 10 の LTSB/LTSC 系列(1607/1809)まで幅広く及びます。修正は 2026 年 7 月 14 日公開のセキュリティ更新プログラムに含まれており、回避策(ワークアラウンド)は提供されていません。対処はパッチ適用の一択となります。

KB 番号・修正ビルド番号の一覧

MSRC のアドバイザリに記載された対象製品と KB 番号・修正ビルド番号を整理します。適用確認の際は、winver やビルド番号の照合で以下の値以上になっているかを確認するとよいでしょう。

対象 OSKB 番号修正ビルド番号更新の種類
Windows Server 2025(Server Core 含む)KB509953610.0.26100.33158Security Update
Windows Server 2022KB509954010.0.20348.5386Security Update
Windows Server 2019(Server Core 含む)KB509953810.0.17763.9020Security Update
Windows 10 Version 1809(x64/x86)KB509953810.0.17763.9020Security Update
Windows Server 2016(Server Core 含む)KB509953510.0.14393.9339Security Update
Windows 10 Version 1607(x64/x86)KB509953510.0.14393.9339Security Update
Windows Server 2012 R2(Server Core 含む)KB50994446.3.9600.23291Monthly Rollup
Windows Server 2012(Server Core 含む)KB50994456.2.9200.26226Monthly Rollup

参考: Microsoft Security Update Guide(CVE-2026-56155 Security Updates)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56155

なお、AD FS はサーバーの役割であるため、実際に本脆弱性のリスクにさらされるのは AD FS 役割をインストールしたサーバーです。ただし、修正モジュール自体は上記の対象 OS すべてに配信されるため、AD FS を運用していないサーバーでも通常の月例パッチ運用の中で適用されます。優先的に対応すべきは AD FS フェデレーションサーバーおよび WAP(Web Application Proxy)サーバーを含む AD FS 関連のサーバー群です。

Windows Server 2012/2012 R2 は ESU 契約が前提

Windows Server 2012/2012 R2 は 2023 年 10 月 10 日に延長サポートが終了しており、本更新プログラムを受け取るには ESU(拡張セキュリティ更新プログラム)の契約が必要です。ESU の最終期限は 2026 年 10 月 13 日と目前に迫っており、それ以降はいかなるセキュリティ更新も提供されません。

参考: Microsoft Learn(Windows Server 2012 and 2012 R2 reaching end of support)
“ESUs will continue for three years, renewable on an annual basis, until October 13, 2026.”
(ESU は年次更新制で 3 年間継続され、2026 年 10 月 13 日をもって終了します)
https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support

悪用確認済みの脆弱性が ID 基盤である AD FS で見つかったという今回の事例は、残り約 3 か月で更新手段を失う旧バージョン上でフェデレーションサーバーを稼働させ続けるリスクを再認識する機会でもあります。Server 2012/2012 R2 上で AD FS を運用している場合は、パッチ適用と並行して後継バージョンへの移行計画の具体化を推奨します。

CISA KEV 登録と対応期限(BOD 26-04)

米 CISA は本脆弱性を、パッチ公開と同日の 2026 年 7 月 14 日付で Known Exploited Vulnerabilities(KEV)カタログに登録しました。登録名は「Microsoft Active Directory Federation Services Insufficient Granularity of Access Control Vulnerability」で、対応期限(Due Date)は 2026 年 7 月 28 日、公開から 14 日間という設定です。

KEV カタログは「実際に悪用が確認された脆弱性」のみを収録するリストであり、掲載自体が悪用の裏付けとなります。米連邦文民行政機関(FCEB)には期限内の対応が義務付けられますが、CISA は民間を含むすべての組織に対しても KEV 掲載脆弱性の優先的な修正を推奨しています。

2026 年 6 月に発行された BOD 26-04「Prioritizing Security Updates Based on Risk」では、従来の一律期限から、資産の公開状況や悪用の自動化可能性などを加味したリスクベースの優先順位付けに枠組みが変わりました。注目すべきは、BOD 26-04 がパッチ適用前の侵害有無の確認(フォレンジックトリアージ)を要求している点です。本脆弱性の KEV エントリでも、Required Action としてベンダー指示に従った修正に加え、CISA の Forensics Triage Requirements への準拠が明記されています。

参考: CISA(BOD 26-04: Prioritizing Security Updates Based on Risk)
“Remediate each vulnerability as quickly as possible”
(各脆弱性を可能な限り迅速に修正すること)
https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk

パッチの適用は今後の悪用を防ぐ手段であり、すでに侵入している攻撃者を排除するものではありません。この考え方は連邦機関に限らず、悪用確認済み脆弱性への対応の基本として有効です。KEV 登録脆弱性への実務対応の流れは、関連記事『Cisco Unified CM の SSRF 脆弱性(CVE-2026-20230)への対処』でも扱っていますので、あわせて参照してください。

次のセクションでは、この「パッチ適用前の侵害確認」を AD FS で具体的にどう行うかを解説します。

パッチ適用前に推奨する侵害有無の確認

本脆弱性は攻撃ベクトルがローカル(AV:L)であるため、悪用されていた場合、攻撃者はすでに AD FS サーバー上で何らかのコードを実行できていたことを意味します。パッチは今後の悪用を防ぎますが、確立済みのバックドアや窃取済みの認証情報を無効化するものではありません。BOD 26-04 がパッチ適用前のフォレンジックトリアージを要求しているのはこのためです。以下では、AD FS 環境で最低限確認しておきたいポイントを整理します。

AD FS 監査設定の確認と監査ログの確認

まず、現在の監査レベルを確認します。AD FS サーバー上で管理者権限の PowerShell から以下を実行します。

Get-AdfsProperties | Select-Object AuditLevel

Windows Server 2016 以降の AD FS では既定で Basic レベルの監査が有効です。調査時により詳細なイベントが必要な場合は、Verbose への引き上げを検討します。

Set-AdfsProperties -AuditLevel Verbose

参考: Microsoft Learn(Troubleshoot Active Directory Federation Services with events and logging)
“You can raise or lower the auditing level by using the PowerShell cmdlet”
(監査レベルは PowerShell コマンドレットで引き上げ・引き下げが可能です)
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-logging

なお、AD FS の監査イベントがセキュリティイベントログに記録されるためには、AD FS サービスアカウントがローカルセキュリティポリシーの「セキュリティ監査の生成」に含まれていること、および以下の監査サブカテゴリが有効であることが前提となります。

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

確認すべきログは主に 2 系統です。

セキュリティイベントログ(AD FS Auditing プロバイダー)

サインイン要求・トークン発行に関する監査イベントが記録されます。資格情報の検証成功(イベント ID 1202)・失敗(イベント ID 1203)を軸に、不審なアカウントによる認証の有無を確認します。

AD FS 管理ログ

イベントビューアーの「アプリケーションとサービスログ → AD FS → Admin」に、構成変更やサービス異常など高レベルの情報が記録されます。心当たりのない構成変更のイベントがないかを確認します。

    調査で注目すべきイベント ID の網羅的なリストは、Microsoft のインシデント対応プレイブック(パスワードスプレー調査)にまとまっており、AD FS 環境の調査全般に応用できます。

    サーバー上の不審な変更の確認

    AD FS 固有のログに加えて、ローカルでの権限昇格が疑われる場合の一般的な確認ポイントとして、以下を推奨します。

    • ローカル Administrators グループおよび AD FS サーバーの管理を委任したグループのメンバーシップに、心当たりのない追加がないか。
    • 直近で作成された不審なローカルアカウント・サービス・スケジュールされたタスクがないか。
    • AD FS サービスアカウント(gMSA を含む)による、通常の運用パターンから外れたログオンがないか。

    トークン署名証明書の扱い

    AD FS サーバーで管理者権限が奪取された可能性がある場合、最も警戒すべきはトークン署名証明書の秘密鍵の窃取です。窃取された鍵で任意のユーザーの SAML トークンを偽造する Golden SAML 型攻撃は、パッチ適用後も有効なまま残り続けます。侵害の兆候が確認された場合は、パッチ適用にとどまらず、トークン署名証明書・暗号化解除証明書のローテーション(更新と旧証明書の失効)、AD FS サービスアカウントの資格情報リセット、フェデレーション先(Microsoft 365/Entra ID 等)側でのセッション失効までを含めた対応が必要になります。この段階まで疑わしい状況であれば、組織のインシデント対応プロセスへの移行を推奨します。

    AD FS ファーム構成での更新手順

    CVE-2026-56155 の修正は OS のセキュリティ更新プログラムとして配信されるため、適用作業自体は通常の月例パッチと同じです。ただし AD FS ファーム構成では、プライマリ/セカンダリの役割と再起動の影響を理解した上で順序を決めることが安全な適用につながります。ここでは WID(Windows Internal Database)構成を前提に解説します。

    事前確認: 各サーバーの役割の把握

    WID 構成のファームでは、構成データベースの読み書きが可能なプライマリサーバー 1 台と、そのコピーを同期するセカンダリサーバーで構成されます。各サーバーの役割は以下で確認できます。

    Get-AdfsSyncProperties

    プライマリサーバーでは Role: PrimaryComputer のみが表示され、セカンダリサーバーでは同期元プライマリの FQDN や最終同期状態を含む詳細が表示されます。

    プライマリサーバーが再起動などで一時的に停止しても、認証処理そのものは停止しません。

    参考: Microsoft Learn(The Role of the AD FS Configuration Database)
    “all secondary federation servers continue to process requests as normal”
    (すべてのセカンダリフェデレーションサーバーは通常どおり要求を処理し続けます)
    https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-the-ad-fs-configuration-database

    プライマリ停止中は構成変更ができなくなるだけであり、月例パッチの再起動程度であれば運用への影響は限定的です。この特性を踏まえると、役割の切り替え(Set-AdfsSyncProperties によるプライマリ昇格)をパッチ適用のためだけに行う必要はありません。

    適用手順の例(WID 構成・ロードバランサーあり)

    なお、月例セキュリティ更新の適用順序について Microsoft が明示的に規定した公式ドキュメントは確認できませんでした。以下は AD FS ファームの構成特性を踏まえた実務上の推奨手順です。

    STEP
    セカンダリサーバーから 1 台ずつ適用

    対象サーバーをロードバランサーの振り分けから除外し、該当 KB(Server 2022 なら KB5099540 等)を適用して再起動します。

    STEP
    適用後の個別確認

    再起動後、AD FS サービスの稼働と同期状態を確認してから、ロードバランサーに戻します。

       Get-Service adfssrv
       Get-AdfsSyncProperties

    セカンダリでは LastSyncStatus が正常(0)であること、最終同期時刻が更新されていることを確認します。

    STEP
    プライマリサーバーを最後に適用

    セカンダリ全台の正常稼働を確認した後、同様の手順でプライマリに適用します。プライマリの再起動中も認証は継続されます。

    STEP
    WAP サーバーへの適用

    DMZ に配置した Web Application Proxy サーバーも同じ OS 更新プログラムの対象です。AD FS ファーム側の適用完了後、同様に 1 台ずつ適用します。

    SQL Server 構成のファームでは WID のようなプライマリ/セカンダリの区別がないため、ロードバランサーからの切り離しと戻しを 1 台ずつ行う運用で問題ありません。

    適用後の確認

    全サーバーへの適用完了後、以下を確認します。

    ビルド番号の確認

    各サーバーで winver または systeminfo を実行し、第 2 回で示した修正ビルド番号(Server 2022 なら 10.0.20348.5386 等)以上になっていることを確認します。

    イベントログの確認

    AD FS 管理ログ(Admin)にエラーや警告が継続して記録されていないことを確認します。

    フェデレーション動作の確認

    実際の証明書利用者信頼(Microsoft 365 等)へのサインインテストを行い、トークン発行が正常に行われることを確認します。あわせてセキュリティイベントログにイベント ID 1202(資格情報の検証成功)が記録されることも確認できると確実です。

    まとめ

    CVE-2026-56155 は、悪用が確認された AD FS の権限昇格脆弱性であり、CISA KEV にも登録された緊急度の高い脆弱性です。修正は更新プログラムの適用のみで、回避策は提供されていません。パッチ適用と合わせて、侵害有無の確認まで視野に入れた対応が望まれます。

    • 悪用確認済みの AD FS 権限昇格脆弱性、CVSS 7.8(Important)
    • ローカル・低権限が前提だが、ID 基盤としての波及リスクに注意
    • CISA KEV 登録、対応期限は 2026 年 7 月 28 日
    • 対象は Windows Server 2012〜2025 および Windows 10 1607/1809
    • Server 2012/2012 R2 は ESU 契約が前提(期限は 2026 年 10 月 13 日)
    • パッチ適用前の AD FS 監査ログ確認を推奨
    • WID 構成ファームはセカンダリ → プライマリ → WAP の順で適用

    以上、最後までお読みいただきありがとうございました。

    よかったらシェアしてね!
    • URLをコピーしました!

    この記事を書いた人

    関西を拠点に活動する、現役インフラエンジニア。経験20年超。

    大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

    保有資格
    CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

    ▶ 運営者プロフィール(詳細)

    目次