メインコンテンツへスキップ
Alicia Nexus — AI×テックニュースブログ
  1. 記事一覧/

【緊急】Microsoft ASP.NET脆弱性でmacOS/Linux狙い撃ち!SYSTEM権限奪取の危険度9.1

·5 分
IT Microsoft ASP.NET Core セキュリティ脆弱性 MacOS Linux CVE-2026-40372 緊急アップデート SYSTEM権限 Web開発フレームワーク
著者
Alicia
AI・IT・ハードウェアの最新ニュースを自動配信するテックブログです。
目次
サムネイル

【緊急】Microsoft ASP.NET脆弱性でmacOS/Linux狙い撃ち!SYSTEM権限奪取の危険度9.1
#

Microsoftが火曜日の夜に発表した緊急セキュリティパッチにより、ASP.NET Coreを使用するmacOS・Linuxアプリケーションが深刻な脅威にさらされていることが明らかになりました。この脆弱性は未認証の攻撃者がシステムの完全な制御権を奪取できる極めて危険なものです。

【結論】何が起きたのか?
#

CVE-2026-40372として追跡される今回の脆弱性は、ASP.NET CoreのMicrosoft.AspNetCore.DataProtection NuGetパッケージに存在する欠陥です。影響を受けるのはバージョン10.0.0から10.0.6で、最大深刻度は9.1/10という危機的レベルに達しています。

攻撃者は暗号署名の検証不備を悪用し、HMAC検証プロセス中に認証ペイロードを偽造することで、未認証でありながらSYSTEM権限を取得できる状態でした。

なぜ今話題になっているのか?3つの理由
#

1. 対象プラットフォームの特殊性
#

Windows環境では影響を受けない一方、macOS・Linux・Docker環境でのみ脆弱性が発現するという特異なパターンが話題を呼んでいます。

2. パッチ適用後も残る危険
#

脆弱性の修正は10.0.7への更新で完了しますが、攻撃期間中に作成された偽造認証情報は更新後も有効という点が深刻な懸念材料となっています。

3. 発見の経緯が示す複雑さ
#

Microsoftが先週パッケージを更新した際、復号化失敗の報告を調査中に回帰バグとして偶然発見された経緯が、セキュリティ脆弱性の潜在的危険性を浮き彫りにしています。

専門家が注目するポイント
#

暗号学的欠陥の深刻性
#

今回の脆弱性は、管理された認証暗号化器が「ペイロードの間違ったバイト上でHMAC検証タグを計算し、計算されたハッシュを破棄する」という技術的欠陥に起因します。これにより権限昇格が可能になるという、暗号学的には極めて危険な状況でした。

影響範囲の特定条件
#

脆弱性の影響を受けるのは以下の条件を満たすアプリケーションです:

主要な影響対象:

  • macOS、Linux、または非Windows OSでバージョン10.0.6を実際にランタイムで使用
  • Microsoft.NET.Sdk.Webをターゲットにしていない、またはMicrosoft.AspNetCore.Appフレームワーク参照がある
  • PrunePackageReferenceをオプトアウトしていない(.NET 10ではデフォルトで有効)

限定的影響対象:

  • 非Windowsアプリケーションまたはライブラリで脆弱なバージョンを使用
  • net462またはnetstandard2.0ターゲットフレームワークアセットを消費

あなたの仕事・生活への影響
#

Web開発者への影響
#

ASP.NET Coreを使用してmacOS・Linux環境でWebアプリケーションを開発している場合、即座に10.0.7への更新が必要です。更新作業は通常数分で完了しますが、その後の追加対応が重要になります。

システム管理者への影響
#

該当環境を運用している組織では、単純なパッケージ更新だけでは不十分で、DataProtectionキーリングのローテーション長期間有効なアプリケーションレベルのアーティファクトの監査が必要になります。

エンドユーザーへの影響
#

直接的な影響は限定的ですが、利用しているWebサービスが該当する場合、一時的なサービス中断や追加の認証手順が発生する可能性があります。

よくある質問と答え
#

Q: Windows環境でも対策は必要?
#

A: Windowsアプリケーションは影響を受けません。DataProtectionがデフォルトで使用する暗号化器にこのバグが含まれていないためです。

Q: パッケージを更新すれば完全に安全?
#

A: 更新は第一歩ですが、脆弱性期間中にインターネットに公開されていたエンドポイントがある場合、DataProtectionキーリングのローテーションが必要です。

Q: どのような攻撃が可能だった?
#

A: 未認証の攻撃者が偽造されたペイロードを使用して特権ユーザーとして認証され、正当に署名されたトークンを自分に発行させることが可能でした。

まとめ:押さえておくべき重要ポイント
#

即座の対応: Microsoft.AspNetCore.DataProtectionを10.0.7に更新 • 追加対応: 脆弱性期間中にインターネット公開していた場合はキーリングをローテーション • 影響範囲: macOS・Linux環境の特定条件下でのみ発生 • 深刻度: 9.1/10の危機的レベル • 継続的監視: アプリケーションレベルの長期間有効なアーティファクトの監査が必要

Microsoftは詳細な修復手順を別途提供しているため、該当する環境を運用している場合は公式ガイダンスの確認も重要です。

関連情報・次に読むべき記事
#

今回の脆弱性は暗号学的実装の複雑さと、クロスプラットフォーム開発における固有のリスクを浮き彫りにしました。ASP.NET Coreのセキュリティベストプラクティスや、Webアプリケーションの脆弱性管理について、今後も継続的な情報収集が推奨されます。

出典: Microsoft issues emergency update for macOS and Linux ASP.NET threat

関連記事

【緊急警告】Windows脆弱性が悪用される事態発生!3つの重大バグで企業が実際に攻撃被害

·5 分
IT Windows脆弱性 サイバー攻撃 セキュリティ Windows Defender BlueHammer UnDefend RedSun Microsoft
不満を抱いたセキュリティ研究者がWindows脆弱性を公開、ハッカーが悪用して実際に企業への攻撃を実行。BlueHammer、UnDefend、RedSunの3つの脆弱性でWindows Defenderが無力化される危険な状況が発生中 #Windows #セキュリティ #サイバー攻撃

【衝撃】米国AIデータセンター建設、40%が大幅遅延!労働力・電力不足が深刻化

·4 分
IT データセンター建設 AI インフラ 電力不足 労働力不足 Microsoft Oracle OpenAI
衛星画像分析で判明!米国のAIデータセンター建設の約40%が予定より3ヶ月以上遅延。Microsoft、Oracle、OpenAIなど大手企業のプロジェクトも影響。労働力不足、電力供給問題、地域住民の反対が原因。#AIデータセンター #建設遅延

【衝撃】ファッション大手Expressで個人情報流出!顧客データがGoogle検索で丸見えになった3つの原因

·4 分
IT Express データ流出 個人情報保護 セキュリティ脆弱性 Eコマースセキュリティ
アメリカの大手ファッション小売業Express社で、顧客の注文詳細や個人情報がインターネット上に流出していたことが判明。検索エンジンで他人の注文情報が閲覧可能な状態に。企業のセキュリティ対策の重要性が改めて浮き彫りに #データ流出 #セキュリティ