AD FSの権限昇格ゼロデイCVE-2026-56155。7月Patch Tuesdayで悪用確認、KEV収録された認証基盤の急所
対象の目安: AD FS/Active Directoryを運用する情報システム/インフラ担当 / 実務

Active Directory Federation Services(AD FS)は、オンプレミスのActive Directoryと、Microsoft 365やEntra IDといったクラウドサービスをつなぐ認証フェデレーションの基盤です。利用者の認証をAD FSが受け持ち、その結果を信頼済みのトークンとして各サービスへ引き渡します。このAD FSに、認証済みで権限の低いローカル攻撃者が管理者権限まで昇格できる脆弱性CVE-2026-56155が見つかりました。CVSS v3.1の基本値は7.8です。2026年7月14日のMicrosoft Patch Tuesdayでは、DKMコンテナのACLハードニングの第1段階(既定は監査モード)が提供されました。AD FSサービスは起動時とその後24時間ごとにDKMコンテナのACLを確認し、不備を見つけるとAD FS AdminイベントログにEvent ID 1132を記録します。更新を適用しただけではDKMコンテナのACLは自動では是正されず、RemediateDkmAclレジストリ値で是正にオプトインするか、既定のまま構成しない環境も2026年10月13日以降に自動是正される流れになります。同日に米CISAが既知の悪用された脆弱性(KEV)カタログへ収録し、実際の悪用が確認されています。
この記事は、AD FSやActive Directoryを運用する情報システムやインフラの担当に向けて、認証基盤の権限昇格がなぜ広範な影響を持つのか、アクセス制御の粒度不足がどうやって管理者権限の奪取に転じるのかを、NVDとMicrosoftのアドバイザリ、Zero Day Initiative(ZDI)の分析、CISAの情報をもとに整理します。あわせて、7月更新で追加されたDKMコンテナのACL監査と是正の仕組み、KEV収録を踏まえた初動を扱います。攻撃の再現手順やペイロードは示しません。脆弱性の検証は自組織が管理する環境に限って行います。
認証フェデレーション基盤の権限奪取が広範に波及する理由
AD FSは、社内のActive Directoryが持つ利用者情報をもとに認証を行い、その結果を信頼済みのセキュリティトークンとして外部サービスへ発行します。Microsoft 365やEntra ID、業務用のSaaSがAD FSを信頼している構成では、AD FSが発行するトークンが各サービスへのアクセスを許す通行証として働きます。ただし実際にどのサービスへどこまで到達できるかは、構成された信頼関係(relying party trust)やクレーム規則、各サービス側の認可設定に依存し、この脆弱性を悪用しただけで全SaaSへ自動的に権限が付与されるわけではありません。誰であるかを確かめる認証と、何を許すかを決める認可は別の層で、なりすましトークンが通るかどうかは信頼構成しだいです。認証の判断をAD FSに集約する仕組みであるため、この基盤を握られると影響は一つのサーバーにとどまりません。
CVE-2026-56155で攻撃者が得るのは、AD FSサーバー上の管理者権限です。AD FSの管理者権限は、トークンの署名に使う鍵や信頼関係の構成へ手が届く立場を意味します。トークン署名証明書の秘密鍵やDKMコンテナの鍵素材を奪われると、Golden SAMLと呼ばれる手口で偽造SAMLトークンを作成でき、多要素認証を含む認証手続きを迂回して任意の利用者(管理者を含む)になりすませます。フェデレーションを信頼する各サービスへ横展開される経路が開き、オンプレミスの権限昇格がクラウド側のなりすましへ連なり得る点が、認証基盤特有の重さです。管理者権限そのものの扱いについては次の記事で整理しています。
あわせて読みたい
最小権限の原則(Least Privilege)。なぜ権限を絞ることが最強の防御の一つなのか
アクセス制御の粒度不足が権限昇格に転じる仕組み
CVE-2026-56155は、採番CNAであるMicrosoftがCWE-1220(Insufficient Granularity of Access Control、アクセス制御の粒度不足)を付与し、NVD等がその情報を掲載しています。CWE-1220は、セキュリティ上重要な資産へのアクセスを制限する制御が十分に細かく設計されず、本来許すべき範囲を越えた操作を認めてしまう弱点です。役割ごとに与える権限の線引きが粗いと、低い権限しか持たないはずの主体が、想定より強い操作へ到達できてしまいます。
Microsoftのアドバイザリは、この脆弱性を認証済みの攻撃者がローカルで権限を昇格できるものと説明しています。攻撃には正規の資格情報とローカルでの足場が前提になりますが、権限要件は低く、管理者権限は必要としません。正規に付与された低権限のアカウントが起点になり得るため、外部からの未認証攻撃ではないという理由だけで軽く扱える対象ではありません。
CVSS評価とベクトルの読み方
採番CNAであるMicrosoftが付与したCVSS v3.1の基本値は7.8(HIGH)で、NVD等がその情報を掲載しています。数値とベクトルは次のとおりです。
| 指標 | 内容 |
|---|---|
| CVSS v3.1 基本値 | 7.8(HIGH) |
| v3.1 ベクトル | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-1220 |
| 攻撃前提 | 認証済み、権限は低(PR:L)、ローカル(AV:L) |
ベクトルは、攻撃元がローカル(AV:L)で、攻撃の複雑さが低く(AC:L)、必要な権限が低め(PR:L)、利用者の操作が不要(UI:N)であり、機密性と完全性と可用性のいずれにも高い影響(C:H/I:H/A:H)が及ぶことを示します。攻撃元がネットワークではなくローカルで、一定の権限を前提とするため、CVSS単体では9点台の未認証RCEより低い7.8に収まります。数値だけを見て後回しにできないのは、この前提が実環境で満たされ、悪用が確認されたためです。優先度づけの根拠は次の節で扱います。
実際の悪用とKEV収録が示す優先度
ZDIは2026年7月のセキュリティ更新の分析で、今月AD FS関連の複数の脆弱性が修正されたなかで、CVE-2026-56155だけが実際に悪用されていると指摘しました。あわせて、この権限昇格がRCE(リモートコード実行)と組み合わされる可能性に触れ、ランサムウェアでよく見られる連鎖の一部として使われ得ると警告しています。権限昇格は単体で完結する攻撃ではなく、足場を得た攻撃者が権限を引き上げるための踏み台として位置づけられます。
CISAのKEV(Known Exploited Vulnerabilities)カタログは、実環境での悪用が確認された脆弱性だけを収録します。CISAは2026年7月14日にCVE-2026-56155を含む4件をKEVへ追加し、連邦民間行政機関(FCEB)に対して2026年7月28日までの是正を指示しました。KEVへの収録は、この脆弱性が悪用され得る段階を越えて、実際に悪用されている段階にあることを公的に示します。ゼロデイの位置づけと優先度づけの考え方は次の記事で整理しています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
7月更新が追加したDKMコンテナのACL監査と是正
2026年7月14日の更新は、AD FSのDistributed Key Manager(DKM)コンテナに対するACL(アクセス制御リスト)の不備へ対処します。DKMコンテナは、トークン署名証明書とトークン暗号化証明書の秘密鍵を保護するための鍵素材(対称鍵)を格納する場所です。ACLが緩いと、認可された低権限のローカル攻撃者がこの鍵素材を読み取り、保護されているはずの署名鍵や暗号化鍵を復号できてしまいます。更新はまず監査モードを追加し、AD FSサービスが起動時とその後24時間ごとにDKMコンテナのACLを点検して、対処が必要な状態を検知するとAD FS AdminイベントログにEvent ID 1132を記録します。この段階では権限は自動では変更されません。更新の適用だけではDKMコンテナのACLは是正されない点に注意します。
計画的に是正したい場合は、HKLM\SOFTWARE\Microsoft\ADFS\Parameters にREG_DWORD値 RemediateDkmAcl を 1 で設定してオプトインします(値の名前と型、パスの正確な指定はMicrosoftのアドバイザリで確認します)。この値を設定すると、即座に是正されるのではなく、次回のACLチェック(最大24時間ごと)またはAD FSサービスの再起動を機に是正処理が実行され、成功するとEvent ID 1135が記録されます。Windows Server 2016以降では、何も設定しなくてもMicrosoftが2026年10月13日以降に自動是正を有効化する計画で、既定のまま構成しない環境もこの日以降は自動的に是正されます。Windows Server 2012および2012 R2は自動是正の対象外で、明示的なオプトインが必要になります。これらのOSではレジストリ設定の前に、AD FSサービスアカウントへDKMコンテナのWriteOwnerとWriteDaclを付与しておく必要があります。設定を変更する前に、稼働中のAD FSファームで想定外の影響が出ないかを検証環境で確認します。
運用担当の初動
実環境での悪用が確認され、フェデレーション基盤の権限奪取につながる脆弱性である以上、更新の適用と設定の是正、侵害調査を並行して進めます。次の順序で手を付けます。
- 1
AD FSサーバーの対象と露出を確認する
稼働中のAD FSがどのWindows Serverの版で動いているかを確認し、2026年7月の累積更新の適用状況を照合します。あわせて、AD FSサーバーへローカルでログオンできるアカウントの範囲と、管理用の到達経路が必要な範囲に絞られているかを点検します。
- 2
2026年7月の更新プログラムを適用する
CVE-2026-56155の修正を含む2026年7月14日のセキュリティ更新を、AD FSを担う全サーバーへ適用します。ファーム構成では各ノードの版と適用状況をそろえて確認します。
- 3
DKMコンテナのACLを監査し是正する
更新後にAD FS AdminログのEvent ID 1132を確認し、DKMコンテナのACLに対処が必要と示された場合は、検証のうえでRemediateDkmAclによる是正へ進みます。自動是正が有効になる2026年10月13日を待たず、監査結果を踏まえて計画的に是正します。
- 4
適用前の侵害を前提に痕跡を調べる
KEVに載る脆弱性はすでに悪用されているため、更新前に権限を奪われていた可能性を前提に調べます。AD FS上の想定外の管理操作や、身に覚えのないトークン署名鍵へのアクセス、なりすましを疑わせる異常な認証イベントが無いかを、AD FSと連携先サービスの両方のログで確認します。
- 5
鍵と資格情報のローテーションと監視を強める
署名鍵やDKMの侵害が疑われる場合は、トークン署名証明書とトークン暗号化証明書を緊急ローテーションし、侵害された旧証明書(プライマリとセカンダリ)を確実に失効させて無効化します。新しく発行する証明書は連携先が取り込むまで停止し得るため、切り替えの影響も見込んで進めます。あわせてEntra IDおよびフェデレーションパートナー側のメタデータを更新し、発行済みのトークンとリフレッシュトークン、セッションを失効させます。管理者アカウントの資格情報もローテーションし、可能であれば署名鍵をHSMで保護します。偽造SAMLトークンは正規の署名鍵で署名されるため多要素認証では止められず、鍵の無効化と再発行が回復の起点になります。あわせてAD FSの認証イベントの監視を強め、なりすましや不正な昇格の兆候を継続して確認します。
AD FSは認証を集約する基盤であるため、多要素認証をはじめとする認証の強化は侵害前の予防策として有効です。ただし署名鍵を奪われた後に作られる偽造トークンは正規の署名で通るため多要素認証では防げず、予防と鍵の保護を両輪で考えます。導入の勘所は次の記事で整理しています。
あわせて読みたい
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
注意
権限昇格の脆弱性はRCEなどと連鎖して被害を広げる踏み台になり得ます。更新を当てただけで安全になったと判断せず、露出していた期間があるサーバーは侵害を疑い、トークン署名鍵へのアクセスやなりすましの痕跡を連携先サービスのログまで含めて照合します。
脆弱性の検証は自組織が管理する環境に限って行います。対象の所有者から明示的な許可を得ずに行うアクセスや検査は、関連法令や利用規約に抵触するおそれがあります。必ず許可を得た環境でのみ実施してください。悪用手順の詳細をここで示さないのも同じ理由からです。
まとめ
CVE-2026-56155は、認証フェデレーションの中枢であるAD FSが、認証済みの低い権限を足場に管理者権限まで奪われる危うさを示した脆弱性です。根因はアクセス制御の粒度不足で、採番CNAであるMicrosoftが付与した分類はCWE-1220、CVSS v3.1基本値は7.8です。2026年7月14日のPatch Tuesdayで対処され、ZDIは今月のAD FS関連で唯一実際に悪用されていると指摘し、RCEと連鎖してランサムウェアに使われ得ると警告しています。CISAは同日にKEVへ収録し、連邦機関へ7月28日までの是正を指示しました。対応の要点は、7月の更新を全AD FSサーバーへ適用したうえで、更新の適用だけではDKMコンテナのACLは是正されないため、Event ID 1132を手がかりにRemediateDkmAclでACLを是正しつつ、適用前の侵害を前提になりすましや不正な昇格の痕跡を連携先まで含めて調査し、署名鍵の侵害が疑われる場合はトークン署名証明書と暗号化証明書の緊急ローテーションとメタデータ更新、発行済みトークンの失効まで進めることにあります。
CVE-2026-56155への対応で確認したいポイント
- 稼働中のAD FSサーバーの版と2026年7月更新の適用状況を確認し、ファーム全ノードでそろっているか照合したか
- AD FSサーバーへローカルでログオンできるアカウントと管理経路が必要な範囲に絞られているか点検したか
- 2026年7月14日のセキュリティ更新をAD FSを担う全サーバーへ適用したか
- AD FS AdminログのEvent ID 1132を確認し、DKMコンテナのACLをRemediateDkmAclで是正する計画を立てたか(Windows Server 2016以降の自動是正は2026年10月13日以降。2012/2012 R2は明示的なオプトインが必要)
- 適用前の侵害を前提に、トークン署名鍵への不正アクセスやなりすましを疑わせる認証イベントが無いかをAD FSと連携先の両方で調査したか
- 侵害が疑われる場合、トークン署名証明書と暗号化証明書の緊急ローテーションと侵害された旧証明書を失効させて無効化、メタデータ更新、発行済みトークンとセッションの失効、管理者資格情報のローテーションと認証監視の強化を進めたか
出典・参考
- NVD - CVE-2026-56155
- Microsoft Security Update Guide: CVE-2026-56155
- KB5121391: CVE-2026-56155 AD FS DKMコンテナ ACLハードニング
- CISA Known Exploited Vulnerabilities Catalog
- CISA Adds Four Known Exploited Vulnerabilities to Catalog (2026-07-14)
- Zero Day Initiative - The July 2026 Security Update Review
- CWE-1220: Insufficient Granularity of Access Control (MITRE)
- MITRE ATT&CK T1606.002: Forge Web Credentials: SAML Tokens
関連する記事
SharePoint Serverの認証済みRCE(CVE-2026-45659)。KEV収録を受けた対応の優先度
SharePoint Serverのデシリアライゼーション(CWE-502)による認証済みRCE、CVE-2026-45659(CVSS 8.8)を一次情報で整理します。CISA KEV収録と悪用確認の意味、更新プログラムの適用と露出の遮断、侵害調査の初動、KEVを起点にした優先度づけを、運用担当の実務目線で解説します。
最小権限の原則(Least Privilege)。なぜ権限を絞ることが最強の防御の一つなのか
必要最小限の権限だけを与える「最小権限の原則」を、なぜ効くのか(侵害時の被害局所化・横展開の抑止)という原理から噛み砕き、過剰権限の典型例とRBAC・ジャストインタイム権限・定期棚卸しといった実践、ゼロトラストとの関係までを実務目線で整理します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。


