2026年のサイバーセキュリティの状況では、「ネットワーク境界」の概念は「アイデンティティ境界」に完全に取って代わられている。しかし、この境界の堅牢性は、管理ツール内の検証ロジックと同じ強さしかない。2026年1月13日、重大な脆弱性が公表された。CVE-2026-20965-それは、ハイブリッド・クラウド管理の信頼モデルに根本的に挑戦するものだ。
Windows Admin Center (WAC) Azure Extension のこの脆弱性により、攻撃者は侵害された単一のローカルサーバから、Azure テナント全体を完全に管理制御することが可能になります。このガイドでは、セキュリティ・エンジニア、エクスプロイト研究者、クラウド・アーキテクト向けに、トークンの混合の仕組みと、Proof-of-Possession(PoP)検証のシステム的な失敗について深く掘り下げた分析を提供します。
WACとAzure SSOの信頼モデルを理解する
Windows Admin Center(WAC)は、Windowsエコシステムの集中管理プレーンとして機能し、AzureポータルからAzure仮想マシンとAzure Arc対応サーバーを直接管理するために使用されることが増えています。シームレスなエクスペリエンスを提供するために、Microsoftは、Microsoft Entra ID(旧Azure AD)を含む洗練されたシングルサインオン(SSO)フローを利用している。
この流れは、2つの特定のトークンの相互作用に依存している:
- WAC.CheckAccessトークン:WAC ゲートウェイとのユーザ・セッションを認証するために使用される標準ベアラ・トークン。
- PoP(所有証明)トークン:リプレイ攻撃を防ぐために設計された拡張トークン。特定のリクエストと目的のリソースとの暗号的なバインディングを含む。
セキュアな実装では、WAC バックエンドは両方のトークンが同じ ID に属することを保証しなけれ ばならない。 CVE-2026-20965 この縛りが施行されなかったからこそ、この縛りが存在するのだ。
技術的な根本原因:トークン混合プリミティブ
CVE-2026-20965の本質は "トークン・ミキシング "である。2025年後半にCymulate Labsが主導した調査により、WACサーバーが ユーザー・プリンシパル名(UPN) での WAC.CheckAccess トークンは ポアソン トークン
1.UPNミスマッチの悪用
WACはこれら2つのトークンを独立した検証チェックとして扱うため、攻撃者は盗まれた WAC.CheckAccess トークンを高権限管理者から受け取り、それを ポアソン 攻撃者自身の低権限アカウントによって生成されたトークン。WACサーバーは2つの "有効に署名された "トークンを見て、管理リクエストを進め、攻撃者に盗まれたセッションのパーミッションを事実上許可する。
2.ノンスとスコープの失敗
アイデンティティの不一致だけでなく、この脆弱性は他にもいくつかの検証ギャップを明らかにした:
- ノンスの再利用:トークンの有効期限内にリプレイ形式の攻撃を許してしまう。
- ゲートウェイでないDNSの受け入れ:PoP プロトコルはゲートウェイの URL にスコープされることになっている。しかし、CVE-2026-20965により
uフィールドが、ポート6516上の任意のIPアドレスやゲートウェイ以外のドメインを指すようにトークンを設定することで、内部ノードへの直接攻撃が容易になる。 - クロス・テナント・トークンの受け入れ:WACは、暗号署名が有効である限り、攻撃者が管理する外部テナントから発行されたPoPトークンを誤って受け入れてしまう。
詳細な攻撃の連鎖ローカル管理者からテナントRCEまで
CVE-2026-20965の重大性を理解するには、現代の企業環境でこれを悪用するために使用される典型的な攻撃ライフサイクルを検証する必要があります。
ステップ1:最初の侵害とトークンの流出
攻撃者は、WACによって管理されているマシンのローカル管理者アクセス権を獲得する。メモリを監視したり、WACサービス(多くの場合、高い特権で実行される)へのトラフィックを傍受したりすることで、攻撃者は WAC.CheckAccess Azure Portal から最近ログインした管理者のトークン。
ステップ2:不正ゲートウェイのセットアップ
攻撃者は正規のWACサービスを停止し、不正なリスナーを実行します。新しい管理セッションが開始されると、不正サーバーは次の悪用ステージを容易にするために必要なメタデータをキャプチャします。
ステップ3:悪意のあるPoPトークンの偽造
攻撃者は、自分の低特権Azureアカウント(または別のテナント)を使用して、PoPトークンを生成します。攻撃者はこのトークンのペイロードを手動で作成し、被害者のテナント内の特定のAzure VMをターゲットにします。
JSON
偽造されたPoPトークンヘッダーの例(簡略化) { "alg":"RS256", "typ":"pop", "kid":"attacker_key_id" } } とする。
// 悪意のある PoP トークン・ペイロードの例 { "at": "ey0eXAiOiJKV1QiLCJhbGci...":"eyJ0eXAiOiJKV1QiLCJhbGci...", "u":"10.0.0.5:6516", // 直接の内部ターゲットIP "m":"POST", "p":"/api/nodes/AzureVM01/features/powershell", "n":"reused_nonce_value", "ts":1736761200 }`
ステップ4:リモートコード実行(RCE)
攻撃者は WAC API に細工した POST リクエストを送信し、盗んだ高権利の WAC.CheckAccess トークンを偽造した ポアソン トークンを使用します。このコマンドはWACのPowerShellゲートウェイ経由で実行され、攻撃者はテナントに接続された任意のVM上で任意のスクリプトを実行できる。
比較脆弱性ランドスケープ2026年1月
CVE-2026-20965の修正プログラムのリリースは、2026年1月のパッチ・チューズデー・サイクルにおける他のいくつかの重大な脆弱性と同時期に行われた。以下の表は、セキュリティチームが修正に優先順位をつけるための、ハイレベルな比較表です。
| CVE識別子 | コンポーネント | インパクト | CVSS 4.0 | 主な特徴 |
|---|---|---|---|---|
| CVE-2026-20965 | WACアジュール・エクステンション | テナント・ワイドRCE | 7.5 | トークン・ミキシング/認証バイパス |
| CVE-2026-20805 | デスクトップ・ウィンドウ・マネージャー | 情報開示 | 5.5 | 積極的に悪用される0日 |
| CVE-2026-21265 | Windowsセキュアブート | フィーチャー・バイパス | 6.4 | ファームウェアの信頼性を損なう |
| CVE-2026-20944 | マイクロソフトオフィス | リモートコード実行 | 7.8 | ユーザーとのインタラクションなし(プレビューペイン) |
| CVE-2025-49231 | Azure Connected Machine(アジュール・コネクテッド・マシン | 特権の昇格 | 7.2 | アーク・エージェントによる横方向移動 |
統合によって ペンリジェント (https://penligent.ai/) をセキュリティ・ワークフローに組み込むことで、事後的なパッチ適用から、クラウド・アイデンティティの境界をAI主導でプロアクティブに検証できるようになります。
戦略的修復とハード化のガイドライン
CVE-2026-20965に対する防御には、最初のソフトウェア・アップデートにとどまらない多層的なアプローチが必要です。
1.ソフトウェアの即時アップデート
組織は、次のように Windows Admin Center Azure Extension を更新する必要があります。 バージョン0.70.0.0 またはそれ以上。このバージョンは、厳格なUPNマッチングを実装し、nonce再利用の抜け穴を塞ぐ。
2.エントラIDコンディショナル・アクセスの強化
条件付きアクセスポリシーを導入する フィッシングに強いMFA (FIDO2キーなど)をすべての管理セッションに使用する。さらに トークンの保護 (トークンが容易に流出し、セカンダリ・デバイスで使用できないようにするために、トークン・バインディング)がサポートされている。
3.管理ポートのネットワーク絶縁
ポートへのアクセスを厳しく制限する 6516 (WAC 管理ポート)。許可された管理ワークステーションまたは特定の Bastion ホストだけが、管理ノードのこのポートと通信できるようにします。
4.モニタリングと脅威ハンティング
セキュリティ・オペレーション・センター(SOC)は、トークンの使用における異常を検出するためのハンチング・クエリを実装すべきである。
- 複数のUPNを検索する:セッションを探す
俳優UPNとテーマEntra IDログのUPNが一致しない。 - ノンス異常の監視:noncesを再利用する、または最初のゲートウェイログインに関連しないIPアドレスから発信される管理APIリクエストにフラグを立てる。
結論アイデンティティ・セキュリティの未来
CVE-2026-20965は、効率化のために管理を一元化すればするほど、リスクも一元化してしまうことを痛感させる。トークン・ミキシング」攻撃は、我々を保護するために設計されたプロトコルそのものを悪用する高度なテクニックだ。このような脅威の一歩先を行くためには、セキュリティ・チームは、攻撃者のように考え、IDチェーンのすべてのリンクを検証できるPenligentのような自動化されたAI主導のテスト・プラットフォームに移行する必要があります。
Japanese 
English 
German 
French 
Spanish 
Portuguese 
Korean 
Hindi 
Arabic 
Turkish 
Hebrew