Windows

フィッシング警告が読めない、Microsoftが2週間後に修正

リモートデスクトップ接続のフィッシング対策として4月に導入されたばかりの警告ダイアログが、マルチモニター環境で読めなくなるバグをMicrosoftが修正した。守るための仕組みが、最初の出番で機能しなかった。

情報の灯台

2026年5月1日

守るための警告が、読めなかった

Microsoftは4月30日、Windows 11向けのオプションプレビュー更新「KB5083631」を公開した。注目すべき修正のひとつが、リモートデスクトップ（RDP）ファイルを開いたときに表示されるセキュリティ警告ダイアログの不具合だ。

この警告は、つい2週間前の4月14日に配信された月例セキュリティ更新「KB5083769」（Windows 11向け）で新たに導入されたばかりのもの。フィッシング攻撃を防ぐ目的で組み込まれた、いわばWindowsの新しい盾だった。

ところがこの盾は、最初の戦いで使い物にならなかった。マルチモニター環境で、それぞれのモニターが異なるスケーリング設定（たとえば一方が100%、もう一方が125%）になっていると、警告ウィンドウのテキストやボタンが重なったり、部分的に隠れたりして読めなくなる。Microsoftは公式に既知の問題として認め、Windows 11（KB5083768、KB5083769）、Windows 10（KB5082200）、Windows Server（KB5082063）のすべてのサポート対象バージョンで同じ症状が起きるとしている。

セキュリティ警告が読めないということは、ユーザーが「接続するか拒否するか」を判断できないということでもある。これではフィッシング対策どころか、むしろ 意思決定を妨げる障害物 になっている。

なぜこの警告が必要だったのか

そもそもこの警告は、どこから生まれたのか。発端は CVE-2026-26151 という脆弱性だ。Windowsリモートデスクトップにおける「なりすまし」の脆弱性で、危険な操作に対するUI警告が不足していたことが根本原因だった。

攻撃者はこの隙を狙ってきた。特にロシア政府の関連が指摘される APT29（別名Cozy Bear）は、悪意あるRDPファイルをフィッシングメールで配布し、被害者の端末から認証情報や文書を窃取するキャンペーンを長らく続けてきた。RDPファイルは見た目こそただの設定ファイルだが、開いた瞬間にローカルのドライブ、クリップボード、スマートカード、Windows Helloの認証情報まで攻撃者側の端末と共有してしまう仕組みになっている。便利な機能が、そのまま情報窃取の経路に化ける。

RDPファイルは、ダブルクリック1回でローカルリソースへの広範なアクセスを攻撃者に許してしまう。利便性のために設計された接続経路が、フィッシングの運び屋になっていた。

Microsoftが4月の更新で導入した新しい警告は、この問題への正面からの応答だった。RDPファイルを開くと、まず初回限定の教育的ダイアログが表示される。次回以降は、接続前にリモートコンピューターのアドレス、発行元の検証状態、要求されているローカルリソース（ドライブ、クリップボード、カメラなど）が一覧で示され、すべての項目が 既定でオフ になる。ユーザーが明示的にチェックを入れない限り、何も共有されない。

設計思想としては「セキュアバイデフォルト」、つまり安全側に倒した既定値だ。方向性そのものは正しい。問題は実装の側にあった。

「同じスケーリングにしてください」という応急処置

修正版が来るまでの間、Microsoftが提示していた回避策は、いま振り返るとなかなか苦しいものだった。

公式のサポートページで案内されていたのは、すべてのモニターのスケーリング設定を揃えるという方法。Windowsの設定からディスプレイを開き、各モニターの「拡大/縮小」を同じ値にしてほしい、というものだ。もうひとつは、マウスでボタンが押せないならキーボードのTabキーで移動してSpaceキーで選択してほしい、というもの。

マルチモニター環境を使う多くの人は、それぞれ画面サイズや解像度が違うからこそスケーリングを変えている。「全部同じにしろ」は、現場の運用を否定しに行く回避策だった。

エンタープライズのIT管理者にとっては、4Kの大型ディスプレイと小型ノートPCの内蔵ディスプレイを同時に使う構成は珍しくない。それぞれに最適なスケーリングを当てているからこそ作業が成立している。応急処置のために運用を曲げろと言われれば、現場は警告ダイアログを諦めて何か別の方法で運用を続けるか、警告そのものを無視する習慣をつけてしまうかもしれない。長期的には、これがセキュリティ全体の弱点になる。

そして今回のKB5083631で、ようやく 根本的な修正 が入った。

オプションプレビューに紛れ込んだ重要な修正

KB5083631は、新機能やUI変更、合計で 34件以上 の改善を含むかなり大型のオプションプレビュー更新だ。Xboxモードの追加、触覚フィードバック対応の拡大、ファイルエクスプローラーのパフォーマンス改善など、メディアの見出しになりやすい変更が並ぶ。RDP警告の修正は、その派手な機能群の影に控えめに収まっている。

ただし、性質を考えるとこれは見過ごせない位置づけだ。オプション更新ということは、自動では降ってこない。ユーザーが Windows Update の画面で「ダウンロードしてインストール」を明示的にクリックする必要がある。来月のパッチチューズデーで正規の月例更新に組み込まれるまで、多くの環境ではまだ修正が届かない。

修正は来た。ただし、それを取りに行く必要がある。月例更新を待つ環境では、もうしばらく回避策と付き合うことになる。

その間も、マルチモニター環境のユーザーは、フィッシング攻撃から守るために設計された警告と毎日にらみ合うことになる。皮肉なのは、この警告がうまく機能しないからといって、攻撃者がRDPファイルを使ったフィッシングをやめてくれるわけではないという点だ。守る側の仕組みが半端な状態でも、攻撃の頻度は変わらない。

セキュリティ機能を「急いで実装する」ことの代償

今回の一連の流れには、現代のセキュリティ実装が抱えるジレンマが凝縮されている。

CVE-2026-26151を埋めるために警告ダイアログを急いで実装したMicrosoftの判断そのものは、おそらく正しい。APT29のような国家支援アクターが現に攻撃を続けている以上、完璧なUIを待っている時間はなかった。だが、急いだ結果として、マルチモニターという十分に普通の環境で品質テストが甘くなった。実装の現場では、4Kディスプレイ＋ノート内蔵ディスプレイ＋外付けサブディスプレイといった構成が、もはや特殊事例ではなくなっている。

セキュリティ機能のリリースは、攻撃者との時間競争であると同時に、品質保証との戦いでもある。早く出せば穴を塞げるが、UIの完成度が低ければユーザー体験を破壊し、最終的に警告そのものへの 信頼を失わせる。「警告が出ても無視する」習慣は、攻撃者にとってもっとも都合のいい状態だ。

セキュリティ機能は、機能しているかどうかと同じくらい、ユーザーにとって信頼できるかどうかが問われる。読めない警告は、警告がないのと同じか、それより悪い。

KB5083769にはほかにも問題が報告されており、サードパーティのバックアップアプリがWindows 11 24H2/25H2でVSS（ボリュームシャドウコピーサービス）のタイムアウトにより動作しなくなる事例も出ている。先月もWindows Serverの再起動ループや更新失敗を修正するため、Microsoftは帯域外（OOB）更新を出したばかりだ。月例更新の品質は、ここしばらく揺れている。

守りの設計が問われている

新しい警告ダイアログそのものは、よく考えられている。発行元が検証されているかどうか、接続先のアドレス、共有されるローカルリソースがすべて目に見える形で提示され、既定値はすべてオフ。RDPファイルへの暗黙の信頼を、明示的な同意に置き換えるという発想は、これからの「ファイルベースの信頼境界」を考えるテンプレートになりうる。

ただ、設計の正しさと実装の正しさは別の話だ。理屈の上でどれだけ美しいセキュリティ機能を作っても、実環境で「読めない」「ボタンが押せない」となれば、それは存在しないのと同じになる。今回のバグは小さなUIレンダリングの問題にすぎないが、そこに浮かぶのは「セキュリティを実装することと、セキュリティが機能することのあいだには距離がある」という古くて新しい事実だ。

修正は来た。だが、その修正が届くまでの2週間、ユーザーは自分のモニター設定を諦めるか、警告を諦めるかのどちらかを選ばされていた。それを「軽微な既知の問題」と呼ぶには、フィッシング攻撃の数が多すぎる。

参照元