米国時間 5 月 12 日の月例更新 (Patch Tuesday) で、Microsoft が Windows DNS クライアントのリモートコード実行脆弱性 CVE-2026-41096 を公開し、同時に修正パッチを配布した。DNS クライアントは Windows がドメイン名を IP に変換するたびに走る基盤機能で、通常のブラウジングや業務通信そのものが攻撃ベクターになり得る 点で影響範囲は広い。Patch Tuesday 公開直後は PoC 公開や攻撃ツール組み込みが時間差で進むため、企業環境ではパッチ展開を後回しにしにくい一件だ。
DNS クライアントの脅威モデル #
DNS クライアントは OS 常駐の解決機構で、URL 入力、メール送信時の MX 照会、Windows ドメイン参加時の SRV 解決など あらゆるネットワーク操作の前段 で必ず通る。RCE が成立する場合、攻撃者が 不正な DNS 応答を返せる位置 にいれば、ユーザー操作なしに任意コード実行に達しうる。典型経路は (1) 同一 LAN 上の DNS スプーフィング、(2) 攻撃者運用の公開リゾルバへの誘導、(3) 中間者攻撃による応答書き換え、(4) 攻撃者ドメインへの名前解決を誘発する Web ページや HTML メール。「自分は何もしていない」が通用しにくい のが厄介な性質だ。
いま打つべき手 #
第一は 当月の累積更新の適用 ─ WSUS / Intune で配布される。第二に、社外 DNS への直接アクセスを抑え、社内リゾルバを必ず経由させる構成 を点検する。社内リゾルバ側で異常応答 (A レコード照会への過大な追加データ等) をログ化しておけば兆候検知に効く。第三に ブラウザ個別 DoH 設定の棚卸し ─ 社内リゾルバを迂回している端末が混在すると監視が効かなくなる。RCE は 境界検知より端末側パッチが本命。検知 / 緩和 / パッチの 3 段構えで臨むのが現実的だ。
COMMENTS 0
No comments yet — be the first to leave one.