未パッチのWindows権限昇格脆弱性「BlueHammer」のエクスプロイトコードが、Microsoftのセキュリティ対応に不満を持つ研究者によって公開された。現時点で公式パッチは存在せず、攻撃者がSYSTEM権限を取得できる状態が続いている。脆弱性の深刻さもさることながら、開示プロセスをめぐる研究者とMicrosoftの対立という構造的な問題を改めて浮き彫りにした事案だ。

BlueHammerとは何か——技術的な詳細

BlueHammerはローカル権限昇格(LPE: Local Privilege Escalation)の脆弱性で、「TOCTOU(Time-of-Check to Time-of-Use)」と「パス混同(Path Confusion)」という2つの手法を組み合わせて悪用する。

TOCTOUとは、リソースの状態を「確認するタイミング」と「実際に使用するタイミング」の間にずれが生じることを突く古典的な競合状態攻撃だ。BlueHammerはこれにパス混同を組み合わせることで、WindowsのSAM(Security Account Manager)データベースへの読み取りアクセスを得る。SAMにはローカルアカウントのパスワードハッシュが格納されており、これを取得できればSYSTEM権限へのエスカレーションが現実のものとなる。

脆弱性の検証を行ったセキュリティ研究者のWill Dormann氏によれば、「エクスプロイトが成功すれば、攻撃者はSYSTEM権限のシェルを起動するなど、システムを事実上完全に制御できる」という。ただし、公開されたPoCコードにはバグが含まれており、動作が安定しないケースもある。Windows Serverでは完全なSYSTEM奪取ではなく、非管理者から昇格管理者への権限昇格にとどまる挙動も確認されている。

開示の経緯——研究者対MSRCの構図

「Chaotic Eclipse」「Nightmare-Eclipse」というアカウント名を使う研究者は、BlueHammerをMicrosoftに対してプライベートに報告していた。しかしMicrosoftのセキュリティ対応部門(MSRC)の対応に強い不満を抱き、2026年4月3日にGitHubでエクスプロイトコードを公開した。

公開時のコメントには「Microsoftに対してハッタリをかましているわけではない。また同じことをやる」「MSRC幹部に感謝する、こうなることを可能にしてくれた」という皮肉が込められていた。

背景として注目すべきは、MSRCが脆弱性報告の際に「エクスプロイトの動画提供」を要件としている点だ。研究者側からすれば、再現動画の作成は相応の労力を要する。このプロセスへの不満が積み重なった可能性が高い。責任ある開示(Responsible Disclosure)の精神に反する行為である一方で、報告コストの高さという制度的な問題を提起している側面もある。

実務への影響——ローカルアクセスを過小評価するな

「ローカル攻撃者が必要」という条件から、リスクを低く見る向きもあるかもしれない。しかしこの見方は危険だ。

ソーシャルエンジニアリング、メールの添付ファイル、他ソフトウェアの脆弱性、認証情報の窃取——いずれもローカルコードの実行を得るための現実的な経路だ。BlueHammerが刺さるのは、初期侵害に成功した後の「横展開・権限昇格フェーズ」だが、実際の攻撃チェーンではここが最も重要なステップになることが多い。

IT管理者が明日から取れる対策として、以下を検討したい:

  • 最小権限の原則を徹底する: 標準ユーザー権限での業務を原則とし、管理者権限の常時付与を避ける。Just-In-Time(JIT)アクセスの仕組みが理想的だ
  • SAMデータベースへのアクセス監視を強化する: 異常なSAMアクセスをSIEMやMDEで検出できるよう、検出ルールを見直す
  • エンドポイント検出・応答(EDR)の精度を確認する: PoCコードはすでに公開されており、シグネチャが更新されつつある。EDRが最新状態であることを確認する
  • Windowsのパッチ状況を継続監視する: 今後のPatch Tuesdayで修正が提供される可能性が高い。適用可否の判断体制を整えておく

筆者の見解

BlueHammerの技術的な内容そのものは、古典的な手法の組み合わせという意味で「目新しさ」はそれほど高くない。TOCTOU攻撃は十数年前から知られており、SAMデータベースを狙う手法も確立された攻撃パターンだ。

むしろ今回の件で考えさせられるのは、MSRCの開示プロセス設計の問題だ。エクスプロイト動画の提供を義務付けることで、善意の研究者に不必要な負担を強いている面がある。セキュリティ研究者のコミュニティから優秀な人材を遠ざけることになれば、長期的にMicrosoft自身にとって損失だ。

Microsoftにはセキュリティに本気で投資できるリソースがある。Secure Future Initiative(SFI)を掲げ、組織全体のセキュリティ文化変革に取り組もうとしているのは知っている。だからこそ、研究者との関係構築という「人の問題」でつまずいているのはもったいないと感じる。研究者コミュニティを味方につければ、脆弱性情報の流れ方が変わる。

パッチが出るまでの間、ユーザーとしてできることはSAMアクセス監視の強化とEDRの最新化程度だが、それを徹底するだけでもリスクは下げられる。公式修正を待ちながら、自組織の権限管理の棚卸しをするよい機会として捉えてほしい。

出典: この記事は Disgruntled researcher leaks “BlueHammer” Windows zero-day exploit の内容をもとに、筆者の見解を加えて独自に執筆したものです。