新たなKerberosリレー手法がDNS CNAMEを悪用して既存の防御を回避

DNS CNAMEレコードを悪用することで、攻撃者が認証情報リレー攻撃を実行できるWindows Kerberos認証の重大な脆弱性。

CVE-2026-20929として追跡されているこの欠陥により、脅威アクターは被害者に攻撃者が制御するシステム向けのKerberosサービスチケットを要求させることができ、NTLM認証が完全に無効化されている場合でも、ラテラルムーブメントや権限昇格を可能にします。

攻撃の仕組み

この脆弱性は、認証時にWindowsのKerberosクライアントがDNSの正規名（CNAME）レコードを処理する方法を悪用します。

Windowsシステムがサービスに接続する際、ホスト名を解決するためにDNSルックアップを実行します。

攻撃者がこのDNSクエリを傍受し、攻撃者が選んだホスト名を指す悪意のあるCNAMEレコードと、攻撃者のIPアドレスを含むAレコードで応答すると、Windowsクライアントは元のサービスではなくCNAMEのホスト名をサービスプリンシパル名（SPN）として用いて、チケット発行サービス（TGS）要求を構築します。

この挙動は、Windows 10、Windows 11、Windows Server 2022、Windows Server 2025を含む、既定のWindowsインストール上のユーザーアカウントに対して確実に機能します。

マシンアカウントや特定の構成に限定されていた従来のKerberosリレー手法とは異なり、このCNAMEベースの手法では、攻撃者がSPNの選択をオンデマンドで制御できます。

この脆弱性の悪用には2つの条件が必要です。DNSトラフィックを傍受するための中間者（MITM）ポジションと、署名またはチャネルバインディングトークン（CBT）を強制せずにKerberos認証を受け付けるターゲットサービスです。

攻撃者は、ゲートウェイになりすますためのARPポイズニング、攻撃者のDNSサーバーアドレスを注入するDHCPv4ポイズニング、またはMITM6手法を用いたDHCPv6ポイズニングによって、必要なネットワーク上の位置を確保できます。

被害者が任意のドメインリソースへアクセスしようとすると、そのDNSクエリは傍受され、細工された応答が返されます。

被害者のシステムは攻撃者が指定したSPNに対するTGSを自動的に要求します。それを攻撃者が制御するサーバーに提示し、サーバーは有効なサービスチケットを意図したターゲットへリレーすることで、被害者になりすまして成功します。

調査により、多くのWindowsサービスが、サービスプレフィックスに関係なく、SPNのホスト名部分のみに基づいてTGSチケットを受け入れることが明らかになりました。

SMBサービスはHTTPプレフィックスのチケットを受け入れ、HTTPエンドポイントはCIFSプレフィックスのチケットを受け入れます。

このクロスプロトコルでの受け入れにより悪用機会が大幅に広がり、攻撃者はHTTP認証をSMBサービスへリレーしたり、証明書窃取のためにActive Directory Certificate Services（ADCS）のWeb登録インターフェースを標的にしたりできます。

Microsoftの対応と緩和策

Cymulateによる報告のとおり、Microsoftは2025年10月の責任ある開示後にこの挙動を確認しました。

MicrosoftはCNAME追従の挙動を変更するのではなく、2026年1月のセキュリティ更新で、サポート対象のWindows Server各バージョンに対してHTTP.sysのチャネルバインディングトークン対応を実装しました。

しかし、根本となるCNAME操作の可能性は変更されていません。セキュリティ専門家は、Kerberos自体はリレー攻撃を防止しないため、保護は個々のサービスレベルで強制されなければならないと強調しています。

組織は、すべてのサーバーでSMB署名を強制し、HTTP/HTTPSサービスでCBTを必須化し、LDAPS CBTと併せてLDAP署名を要求し、DNSインフラを強化し、不審なTGS要求を監視する必要があります。