Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CVE-2026-20833_脆弱性対応とAES 化について

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Jun1214 Jun1214
July 01, 2026

CVE-2026-20833_脆弱性対応とAES 化について

Avatar for Jun1214

Jun1214

July 01, 2026

Other Decks in Technology

Transcript

  1. 自己紹介 ⑥ 2 豊永 喜健 (Yoshitake Toyonaga) 日本マイクロソフト株式会社 セキュリティ クラウド

    ソリューション アーキテクト 担当領域: Microsoft Defender 各製品 / Entra ID 趣味:全国各地のうどんを食べに行くこと 日本マイクロソフト株式会社 テクニカル サポート エンジニア 担当領域:Active Directory 趣味:うどんを食べに行くこと 武田 康史 (Yasushi Takeda) 岸谷 淳 (Jun Kishiya) 日本マイクロソフト株式会社 テクニカル サポート エンジニア 担当領域:Active Directory / PKI 領域 趣味:離島めぐり、ドライブ
  2. 本日ご説明する内容 1 CVE-2026-20833 超概要 どういう脆弱性?何が起きる? 2 Kerberos 認証のおさらい 本脆弱性対応の理解のためにKerberos 認証をおさらい

    3 CVE-2026-20833 詳細解説 影響を受ける対象は?いつまでに何をする? 4 AES への移行に向けて AES への完全移行を進めるためのステップ ⑥ 2 本勉強会のゴール ・CVE-2026-20833 について理解を深め、強制フェーズへの安心安全な移行が出来る ・環境内全ての Kerberos 認証の AES 移行のために必要な対処がわかる
  3. セクション 1 CVE-2026-20833 超概要 どういう脆弱性?何が起きる? 2 2 Kerberos 認証のおさらい 本脆弱性対応の理解のためにKerberos

    認証をおさらい 3 CVE-2026-20833 詳細解説 影響を受ける対象は?いつまでに何をする? 4 AES への移行に向けて AES への完全移行を進めるためのステップ
  4. CVE-2026-20833 超概要 2026 年 1 月に公開された Active Directory ドメイン環境における Kerberos

    認証に関する脆弱性。 当月以降のWindows OS 更新プログラムにて対策が含まれている。
  5. なぜこのタイミング? ・RC4 自体は以前から脆弱性のある暗号方式として非推奨。 ・後方互換性維持のため残されていた。 ・ただし、特に近年の GPU の性能向上などにより現実的な時間でクラック可能に なったことから、Kerberoasting 等の攻撃実現の可能性が非常に高くなった。 『理論上解読可能』

    から『現実的に解読可能』 へ 2024 年 10 月に将来的な RC4 無効化に向けたガイダンスが公開。 Kerberoasting対策のためのマイクロソフトのガイダンス |マイクロソフトセキュリティブログ <CVE-2026-20833 は、将来的な RC4 無効化に向けた 1 つのステップ>
  6. CVE-2026-20833の対処について 3 •本脆弱性の対処方法 KDC (ドメイン コントローラー) が発行するサービスチケットの既定の暗号方式を AES へ変更する •本脆弱性の対処スケジュール

    複数フェーズで更新プログラムを適用し、段階的に対処します。 •何も対処しないとどうなる? 環境に依存しますが、2026 年 4 月の更新プログラム適用時点(第2 展開フェーズ) で 一部のリソースへのKerberos 認証が失敗する可能性があります。
  7. (補足) RC4 と AES 情報漏えいの脆弱性 AES (AES128/256-CTS-HMAC-SHA1-96) RC4 (RC4-HMAC) 観点

    ブロック暗号 ストリーム暗号 暗号方式の種類 パスワードから KDF アルゴリズムで生成され た鍵 NT Hash(MD4) 鍵生成 ソルト (Salt) あり・反復計算 (iteration) あり ソルト (Salt) なし・反復計算 (iteration) なし 鍵生成の特徴 ADのsupplementalCredentials属性 (Primary:Kerberos-Newer-Keys)に格納 NT Hash 鍵の保存 高い 低い 計算コスト サービスチケットはリソースアカウントのパスワード由来の鍵で暗号化されます。この鍵の作り方に大きな差があります。
  8. 情報漏えいの脆弱性 2022 年頃に CVE-2022-37966 が公開されており、 同じく Kerberos 認証における RC4 に対する脆弱性がありました。

    混合しやすいのですが、 CVE-2022-37966 では、Kerberos 認証の セッションキー を対象としており、今回とは AES 化の箇所が異なります。 CVE-2022-37966
  9. CVE-2022-37966 との違い CVE-2026-20833(今回) CVE-2022-37966 観点 サービスチケット本体の暗号方式 セッションキーの暗号方式 対象 サービスアカウントのパスワード由来の鍵 一時的に発行されるセッションキー

    暗号化に使う鍵 サービスチケットのオフライン総当たりを困難にする セッションキーを AES 化し全体の強度を底上げ 主な狙い サービスチケットの既定を AES へ セッションキーの既定を AES へ 既定の変更 5 それぞれの鍵が解読された際の影響が異なります。
  10. セクション 1 2 Kerberos 認証のおさらい 本脆弱性対応の理解のためにKerberos 認証をおさらい 3 4 2

    1 CVE-2026-20833 超概要 どういう脆弱性?何が起きる? 3 CVE-2026-20833 詳細解説 影響を受ける対象は?いつまでに何をする? 4 AES への移行に向けて AES への完全移行を進めるためのステップ 2
  11. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) ② Kerberos 認証のおさらい – 全体像- AS-REP TGS-REQ AS-REP TGS-REP AP-REQ AS-REP AP-REP
  12. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 1. AS-REQ タイムスタンプ等の情報を元にした事前認 証情報をUser Key を使って暗号化。 User Key は認証ユーザーのパスワードを元 に生成。
  13. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 2. AS-REP AS-REP DC 側で持つユーザーのパスワード情報を 元に事前認証情報を復号。 タイムスタンプが許容範囲なら、TGS Key を使って暗号化したTGT を返送。 また、TGS セッション用のTGS Session Key をユーザーのパスワード情報元にした値で 暗号化。
  14. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 3. TGS-REQ AS-REP TGS-REQ アクセスしたいリソースをSPN で指定して リクエスト。 この時、TGS Session Key で暗号化した Authenticator と、TGT を送信。
  15. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 4. TGS-REP AS-REP TGS-REQ AS-REP TGS-REP 提示されたTGT の正当性などに問題が無け れば、要求された SPN に紐づくリソースの サービスチケットを返送。 この時、サービスチケットは、対象リソー スのアカウントのパスワードで暗号化。 また、 TGS セッションキーで暗号化された 後続用のセッションキーも返送
  16. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 5. AP-REQ AS-REP TGS-REQ AS-REP TGS-REP AP-REQ アクセス先リソースに対して、サービスチ ケットを提示。※サービスチケットの中に セッションキーを同封。
  17. Client KDC (Domain Controller) File Server AS-REQ AS-REP User Key

    (ユーザーのパスワード由来) TGS Key (krbtgt Key) (krbtgt アカウントのパスワード由来) Service Key (サービスアカウントのパスワード由来) 事前認証情報 or Authenticator (タイムスタンプなど) TGT (Ticket Granting Ticket) ST (サービスチケット) TGS Session Key Session Key (由来無く、毎回ユニークなランダム値) (由来無く、毎回ユニークなランダム値) 6. AP-REP AS-REP TGS-REQ AS-REP TGS-REP AP-REQ AS-REP AP-REP アクセス先リソース側で、自身のパスワー ドを利用して、サービスチケットを復号化 出来れば、認証成功。以後セッションキー を利用して通信を暗号化する。
  18. セクション 3 CVE-2026-20833 詳細解説 影響を受ける対象は?いつまでに何をする? 1 CVE-2026-20833 超概要 どういう脆弱性?何が起きる? 2

    Kerberos 認証のおさらい 本脆弱性対応の理解のためにKerberos 認証をおさらい 4 AES への移行に向けて AES への完全移行を進めるためのステップ 2
  19. ③ CVE-2026-20833 詳細解説 – まず押さえる前提 CVE-2026-20833 の対応は、RC4 を “完全になくす” ものではありません

    「RC4 を継続する」か「AES へ移行する」かを選択するものです。 今回の脆弱性対応による変更によって、ドメイン コントローラー上の KDC が、既定で RC4 を使わないようにする 方向で変更が行われます。 具体的には、TGS_REQ が行われた際に発行される、サービス チケットの既定の暗号方式に変更があります。
  20. ③ CVE-2026-20833 詳細解説 – まず押さえる前提 DefaultDomainSupportedEncTypes ドメイン コントローラーに対する設定(DDSET) • msDS-SET

    が未設定のアカウントに適用される既定の暗号方式 • 第2展開フェーズで既定値 0x27 → 0x18(AES のみ)に変更 • TGS-REP のサービスチケット発行時に効く msDS-SupportedEncryptionTypes アカウント個別に設定できる属性値(msDS-SET) • アカウントごとに対応する暗号方式を明示する AD 属性 • 設定があれば既定(DDSET)より優先 • RC4 継続は RC4 を含む値(例 0x1C)を設定 CVE-2026-20833 の脆弱性対応では、カギとなる 2 つの設定があります。 → msDS-SupportedEncryptionTypes の設定が無いアカウントのサービス チケットの暗号方式が既定で AES-SHA1 に変更されます。
  21. Registry Key: HKEY_LOCAL_MACHINE¥System¥currentcontrolset¥services¥kdc Name : DefaultDomainSupportedEncTypes Type: REG_DWORD <補足> これまでの既定値は

    0x27 でしたが、 今回の CVE-2026-20833 対応では既定値が 0x18 へと変更になり、 Kerberos 認証時におけるサービス チケットの暗号化方式も AES となりま す。 アカウントに msds-SupportedEncryptionTypes が設定されていない 場合の既定値となります。 DefaultDomainSupportedEncTypes DefaultDomainSupportedEncTypes msDS-SupportedEncryptionTypes
  22. ③ CVE-2026-20833 詳細解説 – まず押さえる前提 選択肢①(推奨) AES へ移行する • サービス

    アカウントを AES 対応に • 最も安全で、本 CVE 対応の本筋 選択肢② RC4 を継続利用する • msDS-SET に RC4 を明示設定すれば継続可 • 設定さえすれば対応完了後も利用可能 • ただし RC4 は段階的廃止が推奨 Kerberos 認証で利用される “DefaultDomainSupportedEncTypes” という値の既定が 0x18 (AES のみ) に変更となります。 msds-SupportedEncryptionTypes 属性が空のアカウントでは、Kerberos のサービス チケットの暗号化方式に AES を利用するようになります。 何も指定しない時に選ばれる暗号化方式を AES にするものであり、明示的に RC4 を設定すれば RC4 が利用可能です。
  23. ③ CVE-2026-20833 詳細解説 – 3つのフェーズ 2026 年 1 月 初期展開フェーズ

    • 監査イベント(ID 201〜209)を追加 • RC4DefaultDisablementPhase を実装 2026 年 4 月 第 2 の展開フェーズ • DefaultDomainSupportedEncTypes の 既定が 0x27 → 0x18(AES のみ) に変更 • RC4DefaultDisablementPhase を 1 に 設定することで、既定値を 0x27 のままに することが可能 (猶予期間) 2026 年 7 月 適用フェーズ • RC4DefaultDisablementPhase の値に 関わらず既定値を 0x18 とする CVE-2026-20833 の脆弱性対応は以下の 3 つのフェーズに分かれています。 フェーズはドメイン コントローラーに対する更新プログラムの適用、もしくは脆弱性対応を制御するレジストリの変更により進めることができます。 HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System¥Kerberos¥Parameters キー:RC4DefaultDisablementPhase 0 - 監査なし、変更なし 1 - 警告イベントは、既定の RC4 使用状況でログに記録されます。 (初期展開フェーズの既定値) 2 - Kerberos は、RC4 が既定で有効になっていないと仮定して開始されます。 (第 2 の展開フェーズの既定値)
  24. ③ CVE-2026-20833 詳細解説 – 影響を受ける可能性がある環境 影響が出やすい AES 非対応の相手 • AES-SHA1

    非対応のサードパーティー製品 • NAS など非 Windows 機器 / 古い OS • 独自に Kerberos を実装する製品 重要な注意 • 監査イベントにて DC が確認できるのは KRB_TGS_REQ まで • アクセス先が AES 対応かはアクセス先の製品に依存する ため検出不可 • 監査ログが無くても認証失敗の可能性あり 現在サポートされている Windows OS の場合、AES に対応していますので影響が発生する可能性は低いです。 一方、以下のような構成については本脆弱性対応によって影響を受ける可能性があります。
  25. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ STEP 1 更新プログラムを全 DC に適用する

    2026/1/13 以降の更新をすべてのドメインコントローラーに適用し、監査イベント が利用できるようにします。 STEP 2 監査イベントを確認し、影響範囲を把握 System ログの ID 201 / 202 / 206 / 207(警告) を確認します。 RC4DefaultDisablementPhase = 2 の動作では 203 / 204 / 208 / 209(エラー=ブロック) に変わります。 ・ ID 201 / 206 :認証元となったクライアント側が AES に対応していない、または AES が無効化されている。 ・ ID 202 / 207 :認証先となったサービス アカウント側で Kerberos 認証で使用可能な AES のキーが存在しない。
  26. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ 記録された監査イベントに従って対処を行う 対応パターン (a) AES へ移行(推奨)

    ID 201 / 206 の場合の対応 認証元クライアント側で対処が必要 • イベントログ「ネットワーク情報」の要求元クライアント IP を確認 • 現行サポートの Windows は既定で AES 対応 = 通常は記録されない想 定 • 記録時は GPO「Kerberos で許可される暗号化の種類」に AES128_HMAC_SHA1 / AES256_HMAC_SHA1 を追加 • サードパーティー製品はベンダーに確認 STEP 3 (a)
  27. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ(2/3) CVE-2026-20833 のご案内 ログの名前: System ソース:

    Microsoft-Windows-Kerberos-Key-Distribution-Center イベント ID: 201 タスクのカテゴリ: KDC 拡張監査 レベル: 警告 説明: サービス msds-SupportedEncryptionTypes が定義されておらず、クライアントがセキュリティで保護されていない暗号化の種類のみをサポートしているため、キー配布センター (KDC) は強制 フェーズでサポートされない RC4-HMAC-NT の使用状況を検出しました。 アカウント情報 アカウント名: <Account Name> リソース領域名: <Supplied Realm Name> msds-SupportedEncryptionTypes: <Supported Encryption Types> 使用可能なキー: <Available Keys> サービス情報: サービス名: <Service Name> サービス ID: <Service ID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 使用可能なキー: <Service Available Keys> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 使用可能なキー: <Domain Controller Available Keys> ネットワーク情報: クライアント アドレス: <クライアント アドレス> クライアント ポート: <クライアント ポート> 変換された Etypes: RC4-HMAC-NT msds-SupportedEncryptionTypes が定義されておらず(※)、 認証元のクライアントが RC4 のみをサポートしているため、イベントを記録します。 変換された Etypes: が RC4 のみとなっていることが分かります。 イベントログに記載の「ネットワーク情報: 」に、 要求元クライアントの IP アドレスが記録されますので、 記載された IP アドレスのクライアントを確認します。 ※定義されていないので、<Service Supported Encryption Types> には、 DDSET の値が入ります ID 201 のサンプル
  28. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ(2/3) CVE-2026-20833 のご案内 ログの名前: System ソース:

    Microsoft-Windows-Kerberos-Key-Distribution-Center イベント ID: 206 タスクのカテゴリ: KDC 拡張監査 レベル: 警告 説明: サービス msds-SupportedEncryptionTypes は AES-SHA1 のみをサポートするように構成されていますが、クライアントは AES-SHA1 をアドバタイズしないため、キー配布センター (KDC) は強 制フェーズでサポートされない RC4-HMAC-NT の使用状況を検出しました。 アカウント情報 アカウント名: <Account Name> リソース領域名: <Supplied Realm Name> msds-SupportedEncryptionTypes: <Supported Encryption Types> 使用可能なキー: <Available Keys> サービス情報: サービス名: <Service Name> サービス ID: <Service ID> msds-SupportedEncryptionTypes: 0x18 (AES128-SHA96, AES256-SHA96) 使用可能なキー: <Service Available Keys> ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: 0x18 (AES128-SHA96, AES256-SHA96) 使用可能なキー: <Domain Controller Available Keys> ネットワーク情報: クライアント アドレス: <Client IP Address> クライアント ポート: <Client Port> 変換された Etypes: RC4-HMAC-NT msds-SupportedEncryptionTypes は AES が定義されていますが、 認証元のクライアントが RC4 を利用しているため、イベントを記録します。 変換された Etypes: が RC4 のみとなっていることが分かります。 イベントログに記載の「ネットワーク情報: 」に、 要求元クライアントの IP アドレスが記録されますので、記載された IP アドレスの クライアントを確認します。 ID 206 のサンプル
  29. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ 記録された監査イベントに従って対処を行う 対応パターン (a) AES へ移行(推奨)

    認証先となるサービス アカウント側で対処が必要 • イベントログ「サービス情報」の認証先アカウントを確認 • そのアカウントのパスワードをリセット/変更 = DC が AES 対応キーを自動 生成 • DC とサービスでパスワード不一致になるため、リセット後はサービス側の再設 定が必要 • サードパーティー製品はベンダーに確認 ID 202 / 207 の場合の対応 STEP 3 (a)
  30. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ(2/3) CVE-2026-20833 のご案内 ログの名前: System ソース:

    Microsoft-Windows-Kerberos-Key-Distribution-Center イベント ID: 202 タスクのカテゴリ: KDC 拡張監査 レベル: 警告 説明: キー配布センター (KDC) は、サービス msds-SupportedEncryptionTypes が定義されておらず、サービス アカウントに安全でないキーしかないため、強制フェーズでサポートされない RC4- HMAC-NT の使用状況を検出しました。 アカウント情報 アカウント名: <Account Name> リソース領域名: <Supplied Realm Name> msds-SupportedEncryptionTypes: <Supported Encryption Types> 使用可能なキー: <Available Keys> サービス情報: サービス名: <Service Name> サービス ID: <Service ID> msds-SupportedEncryptionTypes: <Service Supported Encryption Types> 使用可能なキー: RC4 ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: <DefaultDomainSupportedEncTypes Value> 使用可能なキー: <Domain Controller Available Keys> ネットワーク情報: クライアント アドレス: <Client IP Address> クライアント ポート: <Client Port> 変換された Etypes: <Advertized Kerberos Encryption Types> msds-SupportedEncryptionTypes が定義されておらず(※) 、 認証先となったサービス アカウント側で Kerberos 認証で使用可能な AES のキーが存 在しないため、イベントを記録します。サービス情報の使用可能なキーが、 RC4 のみで あることが確認できます。 イベントログ内の「サービス情報: 」に記載の認証先アカウントのパスワードを 更新することで、ドメイン コントローラーが自動的に AES に対応したキーを生成するため、 認証先アカウントのパスワードリセットやパスワード変更を実施ください。 ※定義されていないので、<Service Supported Encryption Types> には、 DDSET の値が入ります ID 202 のサンプル
  31. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ(2/3) CVE-2026-20833 のご案内 ログの名前: System ソース:

    Microsoft-Windows-Kerberos-Key-Distribution-Center イベント ID: 207 タスクのカテゴリ: KDC 拡張監査 レベル: 警告 説明: サービス msds-SupportedEncryptionTypes が AES-SHA1 のみをサポートするように構成されていますが、サービス アカウントに AES-SHA1 キーがないため、強制フェーズでサポートされない RC4-HMAC-NT の使用状況がキー配布センター (KDC) によって検出されました。 アカウント情報 アカウント名: <Account Name> リソース領域名: <Supplied Realm Name> msds-SupportedEncryptionTypes: <Supported Encryption Types> 使用可能なキー: <Available Keys> サービス情報: サービス名: <Service Name> サービス ID: <Service ID> msds-SupportedEncryptionTypes: 0x18 (AES128-SHA96, AES256-SHA96) 使用可能なキー: RC4 ドメイン コントローラー情報: msds-SupportedEncryptionTypes: <Domain Controller Supported Encryption Types> DefaultDomainSupportedEncTypes: 0x18 (AES128-SHA96, AES256-SHA96) 使用可能なキー: <Domain Controller Available Keys> ネットワーク情報: クライアント アドレス: <Client IP Address> クライアント ポート: <Client Port> 変換された Etypes: <Advertized Kerberos Encryption Types> msds-SupportedEncryptionTypes は AES が定義されていますが、 認証先となったサービス アカウント側で Kerberos 認証で使用可能な AES のキーが存 在しないため、イベントを記録します。サービス情報の使用可能なキーが、 RC4 のみで あることが確認できます。 イベントログ内の「サービス情報: 」に記載の認証先アカウントのパスワードを 更新することで、ドメイン コントローラーが自動的に AES に対応したキーを生成するため、 認証先アカウントのパスワードリセットやパスワード変更を実施ください。 ID 207 のサンプル
  32. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ 記録された監査イベントに従って対処を行う 対応パターン (b) RC4 の利用を継続する場合

    (b) RC4 を継続する場合: AES への移行が難しいなど、RC4 を継続利用する必要がある場合は、 認証先となった「サービス情報: 」に記載のサービス アカウントの msds-SupportedEncryptionTypes に、RC4 を含む値(例:0x1C)を明示的に設定します。 ID 201 / 202 / 206 / 207 とも共通で、こちらの設定を実施すると監査イベントログの記録が解消可能です。 STEP 3 (b)
  33. ③ CVE-2026-20833 詳細解説 – 具体的な対応ステップ(2/3) STEP 4 RC4DefaultDisablementPhase = 2

    に設定 監査ログ(201/202/206/207)が出なくなったことを確認したら RC4DefaultDisablementPhase = 2 に設定 → OS または KDC サービスの再起動で完了です。
  34. セクション 4 AES への移行に向けて AES への完全移行を進めるためのステップ 1 CVE-2026-20833 超概要 どういう脆弱性?何が起きる?

    2 Kerberos 認証のおさらい 本脆弱性対応の理解のためにKerberos 認証をおさらい 3 CVE-2026-20833 詳細解説 影響を受ける対象は?いつまでに何をする? 2
  35. AES への移行に向けたステップ STEP 1 信頼関係先含めたActive Directory ドメイン環境全体の AES 対応可否を確認 ・設定

    (属性) レベルで AES が利用可能な構成となっているか確認 ⇒SPN を持っている & msDS-SupportedEncryptionTypes 属性にAES が含まれているか確認 CVE-2026-20833 の対応などで明示的にRC4 を利用するシステムがあれば、当該システムをチェック ・セキュリティイベントログより、Kerberos 認証に関する ID:4768/4769 のログを確認 ⇒2025 年 1 月以降の更新プログラムを DC に適用の上、 ID:4768/4769 を確認し、追加情報配下の各暗号化の種類が RC4 になっているものや、”Reuslt Code” / “Failure Code” が0x0 以外のものをチェックし、 対象デバイスもしくは対象リソースをチェック ・信頼関係先リソースについても信頼関係先ドメインにて同様にチェック STEP 2 ドメイン全体でAES のみを許可する RC4 が利用されていないことが確認出来たら、[ネットワーク セキュリティ: Kerberos で許可される暗号化の種 類を構成する] ポリシーを利用し、 RC4_HMAC_MD5 のチェックを外し、AES128_HMAC_SHA1 と AES256_HMAC_SHA1 にチェックする 参考:Kerberos での RC4 使用状況の検出と修復 | Microsoft Learn
  36. 情報漏えいの脆弱性 SPN 保持 & AES なし # SPN を持っているアカウントの中から msDS-SupportedEncryptionTypes

    に AES が含まれていない PS C:¥Users¥Administrator> Get-ADObject -LDAPFilter "(servicePrincipalName=*)" -Properties servicePrincipalName,"msDS-SupportedEncryptionTypes" | Where-Object { -not (($_."msDS-SupportedEncryptionTypes" -band 0x18)) } | Select-Object Name,DistinguishedName,@{n="SPN";e={$_.servicePrincipalName - join ";"}},@{n="msDS-SupportedEncryptionTypes";e={$_. "msDS-SupportedEncryptionTypes"}} Name DistinguishedName SPN msDS-SupportedEncryptionTypes ---- ----------------- --- --- testuse01 CN=testuse01,CN=Users,DC=contoso,DC=com HTTP/SQLServer01.contoso.com 7 OldMachine CN=OldMachine,OU=ComputerOU,DC=contoso,DC=com HTTP2/OldMachine SQLAdmin CN=SQLAdmin,OU=EntraNotSyncOU,DC=contoso,DC=com MSSQLSvc/CSServer001.contoso.com:1433
  37. 情報漏えいの脆弱性 以下公開情報にて詳細なステップやセキュリティイベントログから必要な情報を抜き出す 2 つのスクリプトが紹介されていま すので、是非活用ください。 ※スクリプトはGitHub repository からダウンロード可能です。 参考) Kerberos

    での RC4 の使用状況を検出して修復する Kerberos での RC4 使用状況の検出と修復 | Microsoft Learn - List-AccountKeys.ps1 セキュリティイベント ログを照会し、アカウントに利用可能な暗号化キーを列挙するスクリプト - Get-KerbEncryptionUsage.ps1 実際に使用されている暗号化タイプを特定するためのスクリプトで、 RC4 に限定してフィルタリング可能なため、RC4 の利用を検出可能
  38. まとめ CVE-2026-20833 は、RC4 を “完全になくす” 脆弱性対応ではありません 是非、今回の対応を機に AES への移行を検討ください 選択肢①(推奨)

    AES へ移行する • サービス アカウントを AES 対応に • 最も安全で、本 CVE 対応の本筋 選択肢② RC4 を継続利用する • msDS-SET に RC4 を明示設定すれば継続可 • 設定さえすれば対応完了後も利用可能 • ただし RC4 は段階的廃止が推奨