Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1407

Zerologon (CVE-2020-1472)

監修Cybersecurity entrepreneur & security researcher

Zerologon (CVE-2020-1472) とは何ですか?

Zerologon (CVE-2020-1472)Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。


Zerologon(CVE-2020-1472、CVSS 10.0)は、Microsoft Netlogon Remote Protocol(MS-NRPC)における重大な特権昇格の欠陥です。Microsoft は 2020 年 8 月の Patch Tuesday でこれを修正し、Secura の Tom Tervoort が 2020 年 9 月 11 日に完全な技術解析を公開しました。根本原因は AES-CFB8 の安全でない使用にあります。ComputeNetlogonCredential 関数が初期化ベクトル(IV)をランダム化せず、すべてゼロに固定していたのです。すべてゼロの IV とすべてゼロの平文では、暗号文がおよそ 256 回に 1 回の割合ですべてゼロになるため、ネットワーク上の未認証の攻撃者は単に再試行を繰り返すだけで、ドメインコントローラーを含む任意のドメイン参加マシンになりすませます。

認証をバイパスした後、攻撃者は Netlogon 呼び出しを用いて DC のマシンアカウントパスワードを空の値にリセットし、続いて DCSync を実行してすべての認証情報ハッシュ(krbtgt を含む)をダンプし、数分以内に Domain Admin を取得します。なお、DC のパスワードをリセットすると Active Directory との同期がずれるため、復元しなければ DC が機能不全に陥る可能性があります。CISA は緊急指令 20-04 を発令し、Microsoft は 2021 年 2 月の更新で Secure RPC をデフォルトで強制しました。ランサムウェアのオペレーター(Ryuk を含む)や APT はこれを急速に武器化しました。防御策としては、2020 年 8 月と 2021 年 2 月の両方の更新の適用、DC 強制モードの有効化、脆弱な Netlogon 接続を示す Event ID 5827/5829 の監視が挙げられます。

flowchart TD
  A[LAN 上の未認証攻撃者] -->|"偽造した Netlogon 認証、すべてゼロの IV"| B[ドメインコントローラー]
  B --> C{"暗号文 = 0?<br/>(約 256 回に 1 回)"}
  C -->|いいえ| A
  C -->|はい| D[認証バイパス成功<br/>DC マシンアカウントになりすまし]
  D --> E[DC マシンパスワードを<br/>空の値にリセット]
  E --> F[DCSync: krbtgt を含む<br/>全ハッシュをダンプ → Domain Admin]

  1. 01

    LAN 上の攻撃者が Zerologon エクスプロイトを実行し DC のパスワードをリセット、DCSync で全ハッシュを抽出する。

  2. 02

    防御側は DC を強制モードにし、レガシー機器へパッチを当てる間に Netlogon の 5829 / 5827 イベントを監視する。

よくある質問

Zerologon (CVE-2020-1472) とは何ですか?

Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。 サイバーセキュリティの 脆弱性 カテゴリに属します。

Zerologon (CVE-2020-1472) とはどういう意味ですか?

Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。

Zerologon (CVE-2020-1472) からどのように防御しますか?

Zerologon (CVE-2020-1472) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Zerologon (CVE-2020-1472) の別名は何ですか?

一般的な別名: CVE-2020-1472, Netlogon 特権昇格。

関連用語