フォローする 
Microsoftは、プラットフォームのデータ保護暗号APIに関連する高影響のASP.NET Core特権昇格脆弱性CVE-2026-40372に対する緊急の更新をリリースしました。公開報告によれば、この欠陥はCVSSスコア9.1を持ち、認証されていない攻撃者が認証マテリアルを偽造し、最終的には影響を受けるシステムでSYSTEM特権を取得できる可能性があります。
問題が際立っているのは、その深刻さだけでなく、通常のパッチサイクル外での緊急リリースを引き起こすほど深刻だったからです。BleepingComputerによると、顧客が.NET 10.0.6更新後に復号化の失敗を見た後、Microsoftが調査を行ったと報告されています。一方、The Hacker Newsは、このバグが匿名の研究者によって報告され、ASP.NET Core 10.0.7で修正されたと言及しています。
CVE-2026-40372 分析
両方の出版物で引用されたMicrosoftの詳細によれば、CVE-2026-40372は、ASP.NET Coreでの暗号署名の不適切な検証に由来しています。具体的には、影響を受けたMicrosoft.AspNetCore.DataProtection 10.0.0–10.0.6 NuGetパッケージが、ペイロードの誤ったバイトでHMAC検証タグを計算し、場合によっては計算されたハッシュを破棄してしまうことがあります。それにより、保護されたアプリケーションデータの背後にある信頼モデルが損なわれ、真正性チェックを通過する偽造されたペイロードの侵入を許します。
この攻撃対象は、「すべてのASP.NET Coreアプリが脆弱である」という一般的な見出しが示唆するよりも狭いです。The Hacker Newsによれば、成功する悪用は3つの条件に依存しています。アプリケーションは、NuGetから直接または依存パッケージを通じてMicrosoft.AspNetCore.DataProtection 10.0.6を使用していること、NuGetのコピーが実行時に実際に読み込まれていること、そしてアプリケーションがLinux、macOS、または他の非Windowsオペレーティングシステム上で実行されていることです。
これらの条件が満たされると、影響は深刻になる可能性があります。影響を受けた検証ルーチンは、攻撃者がペイロードを偽造し、認証クッキー、抗偽造トークン、TempData、OpenID Connect状態などに格納された以前に保護された値を復号化することを許すかもしれません。Microsoftは、悪用がファイルの開示やデータの修正を可能にする可能性もあるが、可用性には影響を与えないとしています。
最も危険な企業シナリオは、騒がしいコード実行ではなく、信頼の乱用による特権の昇格です。脆弱な期間中に攻撃者が特権ユーザーとして認証できる場合、アプリケーションは更新されたセッション、APIキー、またはパスワードリセットリンクなどを攻撃者に合法的に署名して発行するかもしれません。これらのアーティファクトは、防御者がデータ保護キーレングを回転させない限り、パッケージのアップグレード後も有効であり続ける可能性があります。
CVE-2026-40372 緩和策
主な修正は簡単です:Microsoft.AspNetCore.DataProtectionをバージョン10.0.7に更新し、影響を受けたアプリケーションを再デプロイします。BleepingComputerによれば、Microsoftの指針は、誤った検証ルーチンを修正し、偽造ペイロードを今後拒否されるようにするために、新しいパッケージをできるだけ早く適用することです。
とはいえ、パッチの適用だけでは完全な露出の閉鎖にならないかもしれません。両方のレポートで言及されているように、脆弱な期間中に発行されたトークンは、データ保護キーレングが回転されるまで、アップグレード後も有効なままである可能性があります。実際には、組織はキーの回転を修正ワークフローの一部として扱うべきです。特に、クッキー、抗偽造トークン、パスワードリセットフロー、その他の署名されたアプリケーション状態に大きく依存するインターネットに面したアプリにとってそれは特に重要です。これは、影響を受けたトークンタイプと悪用の前提条件に基づく運用上の推論です。
実用的な対応プランは、実行時に脆弱なNuGetパッケージを読み込んだ非WindowsのASP.NET Coreアプリケーションを特定し、10.0.7にパッチを適用し、データ保護キーレングを回転させ、アプリケーションが露出していた間に発行された可能性のある特権セッションやその他の署名されたアーティファクトを確認することです。可能な限り、チームは修正後に機密セッションの資料を失効または再発行することも検討すべきです。パッケージとランタイムのトリアージ基準は、Microsoftが公開した条件から直接来ており、トークンのレビューと再発行のステップは、アップグレード後も生き残る可能性があるというMicrosoftの警告から得られる合理的な防御的推論です。
さらに、活用することで SOC PrimeのAIネイティブ検出インテリジェンスプラットフォーム 世界的なサイバー・ディフェンスの専門知識に支えられ、グローバルな組織は回復力のあるセキュリティ姿勢を採用し、SOCを変革してゼロデイの悪用に関連する新たな脅威に常に先んじることができます。
FAQ
CVE-2026-40372とは何か、どのように動作するのか?
CVE-2026-40372は、データ保護暗号APIにおけるASP.NET Core特権昇格の欠陥です。影響を受けたパッケージが誤ったバイトを検証し、計算されたHMACを場合によっては破棄することができるため、攻撃者は保護されたペイロードを偽造し、認証クッキーやその他の署名された状態などのアプリケーション信頼メカニズムを乱用することができます。
CVE-2026-40372はいつ初めて発見された?
正確な非公開の発見日については、両レポートとも述べていません。公にされているのは、Microsoftが2026年4月22日に緊急修正をリリースしたことであり、BleepingComputerによれば、Microsoftは.NET 10.0.6アップデート後に顧客からの復号失敗の報告を受け、調査を開始したと言います。The Hacker Newsも、この欠陥を報告した匿名の研究者にクレジットが与えられたと述べています。
CVE-2026-40372がシステムに与える影響は?
成功した悪用は、偽造されたペイロード、保護されたデータの開示、ファイルの開示、データの改ざん、影響を受けるシステムでのSYSTEMまでの特権昇格を許す可能性があります。レポートも、可用性に影響はないと述べています。
CVE-2026-40372は2026年にも影響を及ぼす可能性がありますか?
はい。システムが影響を受けた条件下で脆弱なデータ保護パッケージを実行し続ける限り、特にLinux、macOS、またはその他の非Windowsホスト上では、2026年にも曝露されている可能性があります。パッチ適用後も、脆弱な期間に発行されたアーティファクトは、データ保護キーレングが回転されるまで有効であり続ける可能性があります。
CVE-2026-40372から自分をどのように守ることができるか?
Microsoft.AspNetCore.DataProtectionを10.0.7に更新し、影響を受けたアプリケーションを再デプロイし、データ保護キーレングを回転させ、認証クッキー、更新セッション、APIキー、リセットリンクなどの機密署名アーティファクトを無効にするか再発行するかを確認します。パッケージの更新とキーレングの回転は、Microsoftの指針に直接サポートされています。無効化と再発行は、Microsoftが説明したリスクに基づく慎重なフォローアップ行動です。
