本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
2025 年 4 月 8 日にリリースされた Windows 更新プログラムには、Kerberos 認証の脆弱性に対する保護 (CVE-2025-26647) が含まれています。
一部環境にて、証明書を利用した認証 (例えば、スマートカード ログオンや証明書認証を利用した無線 LAN 接続 など) において、特権昇格の影響を受ける可能性のある脆弱性が報告されました。
CVE-2025-26647 では、この脆弱性に対して対応を行っています。
本記事では、CVE-2025-26647 に関してご案内させていただきます。
** 本脆弱性に関する公開情報
CVE-2025-26647 (Kerberos 認証) の保護
Windows Kerberos の特権の昇格の脆弱性
CVE-2025-26647 の詳細や影響を受ける可能性がある環境について
Active Directory にあるアカウントの altSecurityIdentities 属性に以下 5 つのうちいずれかの記述方式を持つ値を設定しているアカウントが、特権を持つアカウント (例えば、Administrators グループや Domain Admins グループに所属するようなアカウント) である場合に、特権昇格の可能性があることが報告されております。
<影響を受ける可能性のある altSecurityIdentities 属性の記述方式>
1 | X509IssuerSerialNumber |
altSecurityIdentities 属性は、ユーザーアカウントに対して証明書などを明示的に紐づけ(マッピング)し、その証明書などのデータを用いてユーザー認証を行う際に参照される属性値となっています。
本属性の利用について代表的なものとして、2022 年 5 月に CVE-2022-34691, CVE-2022-26931 および CVE-2022-26923 の脆弱性対応にあたってセキュリティ強化 (KB5014754) となります。
この脆弱性対応の対処方法の一つに、証明書を利用して認証するアカウントの altSecurityIdentities 属性に、証明書情報とマッピングさせるための値を設定し、脆弱性対応を行うという方法があります。
** 参照情報
2022 年 5 月 10 日の更新プログラムに含まれるドメイン コントローラーでの証明書ベースの認証の変更と対応の流れについて [KB5014754]
ユーザー セキュリティ属性 - Win32 apps
CVE-2025-26647 に対応する流れと手順
2025 年 4 月の更新プログラムを適用することで、証明書を用いた認証時にその証明書のチェーンに含まれる発行元 CA の証明書が NTAuth ストア 内に含まれていることを確認するように変更されています。
そのため、NTAuth ストアに認証に利用される証明書の直上にある発行元 CA 証明書を追加し、AllowNtAuthPolicyBypass レジストリを 2 に設定する (もしくは2025 年 10 月 14 日以降の更新プログラムを適用する) ことで脆弱性対応が完了します。対象のレジストリの設定箇所等については後述いたします。
NTAuth ストアへの証明書の追加手順については、以下の弊社サポートチームによる技術ブログをご参考ください。
NTAuth ストアの証明書の登録方法について
また、証明書ベースの認証ができなくなるリスクを回避するため、以下のスケジュールに沿って段階的に対応を進めていく予定としております。
1) 2025 年 4 月 8 日: 初期展開フェーズ (監査モード)
2025 年 4 月 8 日の更新プログラムにより、証明書ベースの認証を受け付けた際に、その証明書が脆弱性の影響を受ける可能性があるかどうかを判断できるようになります。
本脆弱性の影響を受ける可能性がある証明書を用いた認証が行われた場合、以下のイベント ログ ID:45 がドメイン コントローラーの SYSTEM イベントログ内に記録されます。
この時点では、認証を拒否することはありません。
1 | ログの名前: System |
イベント ログ ID:45 に記載されている「<認証に使用された証明書の発行元 CA>」に記載されている CA の CA 証明書を、NTAuth ストアに追加することで対処を進めます。
すべてのイベント ログ ID:45 を解決し、AllowNtAuthPolicyBypass レジストリを 2 に設定して強制フェーズとすることで脆弱性への対処が完了となります。
AllowNtAuthPolicyBypass レジストリ設定後に再起動は不要です。
2) 2025 年 7 月 8 日: 既定で強制フェーズ
2025 年 7 月 8 日の更新プログラムを適用すると、脆弱性の影響を受ける証明書を用いた認証は既定で拒否されます。
認証が拒否された場合は、以下のイベント ログ ID:21 がドメイン コントローラーの SYSTEM イベントログ内に記録されます。
1 | ログの名前: System |
この時点では、AllowNtAuthPolicyBypass レジストリを明示的に 1 に設定することで、初期展開フェーズ (監査モード) に切り戻しをすることができます。
AllowNtAuthPolicyBypass レジストリ設定後に再起動は不要です。
3) 2025 年 10 月 14 日: 強制モード
2025 年 10 月 14 日の更新プログラムを適用すると、脆弱性の影響を受ける証明書を用いた認証は拒否されます。
認証が拒否された場合は、イベント ログ ID:21 がドメイン コントローラーの SYSTEM イベントログ内に記録されます。
2025 年 10 月 14 日の更新プログラムを適用した後は、AllowNtAuthPolicyBypass レジストリの設定によるフェーズ変更はできなくなります。
レジストリ キー情報
本脆弱性への対応に当たって追加された AllowNtAuthPolicyBypass について紹介します。
レジストリ キーは自動的には追加されません。動作を変更する必要がある場合は、レジストリ キーを手動で作成し、必要な値を設定する必要があります。
レジストリ キーが構成されていない場合の OS の動作は、展開のフェーズによって異なります。
1 | レジストリ キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
AllowNtAuthPolicyBypass レジストリ設定は、2025 年 4 月以降にリリースされた更新プログラムをインストールしたドメインコントローラーにて設定する必要があります。
既知の不具合について(2 点)
1.2025 年 4 月 8 日の更新プログラムに含まれている不具合
※該当問題による実影響はなく、既に 2025 年 6 月 10 日の更新プログラムで改善されています。
2025 年 4 月リリースの月例更新プログラムには既知の問題が確認されております。
ただし、手動でレジストリ AllowNtAuthPolicyBypass = 2 と設定しない限り現状では影響はありません。
なお、本問題については、 2025 年 6 月リリースの更新プログラムにおいて既に修正がされておりますので、
2025 年 4 月リリースの更新プログラム適用を実施いただく際には、6 月の更新プログラム適用をご検討いただけますようお願いいたします。
以下、問題の詳細や対応についてご案内となります。
■ 問題の内容について
自己署名証明書が利用されるシナリオ(以下は例)が問題となる可能性がございます。
1 | - Windows Hello for Business (WHfB) のキー信頼構成における WHfB のユーザー認証 |
これらのシナリオに合致する場合、以下のような事象が発生します。
・AllowNtAuthPolicyBypass が設定されていない、もしくは 1 に設定されている場合。(既定)
上記のシナリオに合致する認証にて、Kerberos-Key-Distribution-Center のイベント ID 45 のイベントログがドメイン コントローラー (DC) のシステムイベントログに記録されます。認証への影響はありません。
・AllowNtAuthPolicyBypass が 2 に設定されている場合。
上記シナリオに合致する認証にて、Kerberos-Key-Distribution-Center のイベント ID 21 のイベントログが DC のシステムイベントログに記録され、認証が拒否されます。
■ この問題への対応策
イベント ID 45 の記録が以下のようになっていることを確認します。
WHfB ユーザー ログオンの場合、証明書のサブジェクトと発行者の両方が、以下のような形式と一致します。
<SID>/<UID>/login.windows.net/<テナント ID>/<ユーザー UPN>ドメイン参加端末による公開キー認証の場合、ユーザーがコンピューター アカウント (末尾の $ 文字で終わる) となっています。
証明書のサブジェクトと発行者は同じコンピューター名となっていて、証明書のシリアル番号は 01 となっています。
イベント ID 45 の記録が上記に合致している場合、その ID 45 は無視していただいても問題ございません。
また、本問題については既に 2025 年 6 月 10 日リリースの更新プログラムにおいて既に修正がされています。更新プログラム適用をご検討いただけますようお願いいたします。
2.2025 年 7 月 8 日の更新プログラムに含まれている不具合
※本問題は、上記の 「2025 年 4 月 8 日の更新プログラムに含まれている不具合」とは別の不具合であり、実際の影響はなく、現在、弊社内にて修正に向けて対応を進めています。
以下、問題の詳細や対応についてご案内となります。
■ 問題の内容について
2025 年 7 月 8 日の更新プログラムを適用した環境、またはレジストリで強制モードが設定された状態において、Windows Hello for Business 環境などで自己署名証明書を用いた認証が行われた場合、認証自体は成功するものの、ID:21 イベントが意図せず記録される事象が確認されています。
※この場合、実際の影響はなく、あくまで意図されていない ID:21 イベントが記録するのみです。
※自己署名証明書を用いた認証の例は、上記の 「2025 年 4 月 8 日の更新プログラムに含まれている不具合」 の説明にてご紹介しています。
■ この問題への対応策
ご利用環境にて記録される ID:21 イベントがこの不具合によるものか、あるいは強制モードによって拒否された認証に伴う想定された動作かを判断する必要があります。
ただし、現時点では不具合による ID:21 かどうかを明確に判別する方法がないため、まず以下の 2 点をご確認いただけますと幸いです。
・ID:21 イベントが記録された際、Windows Hello for Business によるログオンの失敗等、自己署名証明書を利用した認証の失敗報告が増えていないかを確認します。
(問題報告が増えているといったことがなければ、この ID:21 イベントの不具合による記録の可能性が高いと考えられます)
・7 月の更新プログラムを適用する前の ID:45 イベントの記録状態を確認します。こちらは、7 月の更新プログラムを適用前の状態により確認方法が異なります。
-6 月の更新プログラムを適用済みの状態で ID:45 が記録されていない状況であれば、ID:21 イベントによる実影響がないとお考えいただけます。
-4 月 または 5 月の更新プログラムを適用していて 6 月の更新プログラム適用を未実施の場合は、上記の 「2025 年 4 月 8 日の更新プログラムに含まれている不具合」による影響をクリアするために、まず 6 月の更新プログラム適用いただくことをおすすめします。
本不具合はイベントが記録するだけで実害ありませんが、今後の更新プログラムで修正される予定です。
修正までの間は、AllowNtAuthPolicyBypass レジストリを 1 に設定し監査モードへ切り戻し、運用を継続いただくこともご検討いただければと存じます。
(AllowNtAuthPolicyBypass レジストリ設定後に再起動は不要です)
更新履歴
2025/08/28 : 本ブログの公開