Microsoft Defenderに新たなゼロデイ脆弱性「RoguePlanet」が発見され、最新のWindows環境でもSYSTEMレベルのアクセスを許す可能性が浮上しました。この脆弱性は、攻撃者がシステムを完全に制御できる深刻な脅威をもたらします。
Microsoft Defenderの新たな脅威「RoguePlanet」とは
匿名のセキュリティ研究者「Chaotic Eclipse」(別名Nightmare-Eclipse)が、Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」に対する概念実証(PoC)エクスプロイトを公開しました。このエクスプロイトは、レースコンディションを利用して特権を昇格させ、成功すればSYSTEMレベルの権限で任意のコード実行や不正な操作が可能になります。
研究者によると、このエクスプロイトはWindows 11およびWindows 10の、2026年6月の月例パッチが適用された最新バージョンで動作することが確認されています。ただし、Windows Server環境では、標準ユーザーがISOイメージをマウントできないため、現在のPoCでは直接動作しません。しかし、研究者はWindows Serverもこの脆弱性の影響を受けると指摘しており、動作させるにはエクスプロイトの再設計が必要だとしています。
「このPoCを機能させるのに本当に魂を吸い取られた。精神的、肉体的な健康が著しく損なわれたが、5月末には完全なPoCが開発された」と研究者は述べている。
研究者とMicrosoftの間の対立
「RoguePlanet」の公開は、Chaotic EclipseがMicrosoftと協力して脆弱性を開示するプロセスに不満を抱いた結果、非協調的な開示として行われました。研究者は、Microsoftが脆弱性報告を行うためのMicrosoft Security Response Center(MSRC)アカウントへのアクセスを取り消し、報告を却下したり、発見された脆弱性に対する報酬を支払わなかったり、名誉を毀損したりしたと主張しています。
Microsoftは、このような公開された脆弱性開示は「決して正当化されない」ものであり、顧客を「不必要なリスク」に晒す行為だと非難しています。実際、Chaotic Eclipseが過去数ヶ月間に発見した他のMicrosoft Defenderの脆弱性(BlueHammer、UnDefend、RedSun)は、既に実世界で悪用されていると報じられています。この対立は、研究者のGitHubおよびGitLabアカウントの閉鎖にも繋がりました。
セキュリティ研究者のケビン・ボーモント氏は、「Microsoftは、GitHubの所有権を自社製品保護のために悪用しようとし、自社製品の脆弱性に関する情報を公開することを犯罪行為と見なすことで、法執行機関との広範な繋がりを悪用しようとしている」と指摘しています。
これに対し、MicrosoftはX(旧Twitter)で、「セキュリティ研究を実施または公開する個人に対して法的措置を講じる意図はない」と表明しました。しかし、「個人が法律を破り、顧客に実害をもたらす悪意ある活動に従事した場合、必要に応じて法執行機関と協力する」とも付け加えています。
深刻な影響とMicrosoftの対応
SYSTEMレベルのアクセス権限は、攻撃者にとってシステムを完全に掌握することを意味します。これにより、マルウェアのインストール、データの窃取、システム設定の改ざんなど、あらゆる悪意ある活動が可能になります。最新のWindowsアップデートが適用された環境でもこの脆弱性が機能するという事実は、その深刻度をさらに高めています。
セキュリティ研究者のウィル・ドーマン氏は、Mastodonへの投稿で「100%確実ではないと報じられているが、私にとっては最初の試行で成功した」と述べており、PoCの有効性が確認されています。
Microsoftは、この脆弱性の報告を認識しており、現在その妥当性と潜在的な適用可能性を積極的に調査しているとコメントしています。同社は、セキュリティ問題の調査と、顧客を保護するための製品の迅速な更新にコミットしていると強調し、発見された脆弱性が公開される前に徹底的に調査され対処されることを保証する、業界標準の「協調的脆弱性開示」の重要性を改めて主張しています。
ユーザーが直面するリスクと業界への影響
今回の「RoguePlanet」のようなゼロデイ脆弱性は、最新のセキュリティパッチを適用しているユーザーでさえ、潜在的な脅威に晒される可能性を示しています。特にMicrosoft DefenderはWindowsに標準搭載されているため、広範囲のユーザーに影響を及ぼす恐れがあります。
また、セキュリティ研究者とベンダー間のコミュニケーション不全が、このような非協調的開示に繋がり、結果としてユーザーを危険に晒すという問題も浮き彫りになりました。セキュリティ業界全体にとって、脆弱性の発見から公開、そして修正に至るまでのプロセスにおける透明性と協力体制の構築が、改めて重要な課題として認識されています。
まとめ:ゼロデイ攻撃への警戒と継続的な対策の必要性
Microsoft Defenderの「RoguePlanet」ゼロデイ脆弱性は、最新のWindows環境でもSYSTEMレベルのアクセスを許す深刻な問題です。Microsoftは現在この問題の調査を進めており、今後のパッチ提供が待たれます。ユーザーは、常にシステムを最新の状態に保ち、不審なファイルやリンクには警戒し、多層的なセキュリティ対策を講じることが重要です。セキュリティベンダーと研究者間の建設的な協力関係が、より安全なデジタル環境の実現には不可欠と言えるでしょう。
