Windows Defender に「BlueHammer」ゼロデイ（CVE-2026-33825）——13日間で3つの脆弱性が連鎖する異常事態

Windows Defenderに深刻なゼロデイ脆弱性「BlueHammer（CVE-2026-33825）」が4月7日に公開された。非特権ユーザーがSYSTEM権限を取得できるローカル特権昇格（LPE）の脆弱性であり、完全にパッチを当てたWindows 10・Windows 11の両方が対象になる。さらに今回は孤立した1件ではなく、13日間で3つの関連エクスプロイトが連続公開されるという、これまでにない展開を見せている。

CVE-2026-33825「BlueHammer」の技術的な仕組み

脆弱性の根本原因は、Windows Defenderの脅威対処エンジン（Threat Remediation Engine）に存在するTOCTOU（Time-of-Check To Time-of-Use）競合状態だ。

Defenderがマルウェアを検出してファイルを削除・修復する際、ファイルパスを「チェックしたタイミング」と「実際に書き込むタイミング」の間に微妙なギャップがある。BlueHammerはこのギャップをついて、Defenderが高い特権で操作しようとしていたファイルパスをシンボリックリンクやジャンクションポイントで差し替え、任意のファイルを上書きさせる。結果として非特権プロセスからSYSTEMレベルのコード実行が可能になる。

CVSSスコアは7.8（High）。ローカルでの実行が前提なので「リモートコード実行に比べればまし」と思いたいところだが、社内不正アクセス・フィッシング成功後の権限昇格・サプライチェーン経由のコード実行など、現実のインシデントシナリオでは十分に悪用される攻撃ベクターだ。

「13日間・3エクスプロイト」が示す構造的リスク

今回の最大の論点は、BlueHammer単体ではなく、同時期に公開された3つのエクスプロイトの連鎖にある。

名称 内容

BlueHammer Defenderファイル修復ロジックを悪用したLPE

UnDefend Defenderの更新機構を妨害し、保護能力を徐々に低下させる

RedSun クラウドタグ付きファイルの処理を悪用した別経路のLPE

攻撃者がBlueHammerで昇格してUnDefendで防御を骨抜きにし、パッチ適用後でもRedSunで再昇格を狙える——というチェーンが成立する。3件をまとめてみると「Defender自体の設計に構造的な問題がある」と指摘せざるを得ない部分がある。セキュリティ製品のコアロジックに競合状態があるという事実は、修正パッチで完全に解消できる類の話ではないからだ。

影響範囲と対処方法

影響を受けるプロダクトは広い。

• Windows 10（サポート中の全バージョン）
• Windows 11（サポート中の全バージョン）
• Windows Server 2016 / 2019 / 2022 / 2025
• Microsoft Defender Antivirus（2026年4月更新以前）

Microsoftは4月のPatch Tuesdayで修正パッチをリリース済みだ。優先度を「即時適用」に設定することを強く推奨する。

実務への影響

IT管理者がすぐ確認すべきこと

Windows Updateの適用状況を確認する。Defender定義ファイルの更新とは別に、OS本体の4月Patch Tuesdayが必要。WUFBやWSUSで管理している場合、遅延設定が入っていないかチェックしよう。

PoCが公開済みである点を重視する。BlueHammerはコードが出回っており、ツールに組み込まれるまでの時間はそれほどかからない。「うちは内部ネットワークだから大丈夫」という判断は避けたい。内部でのLPEは、BECや内部犯行のシナリオで特に脅威度が上がる。

Defenderだけに依存しない多層防御を確認する。UnDefendの存在が示すように、エンドポイント保護が徐々に無効化されるシナリオが現実的になっている。EDR/XDRの死活監視や、Defender以外のセキュリティレイヤーが機能しているかを今一度点検する価値がある。

特権アカウントのアクセス制御を見直す。LPEが有効な状況では、非特権で動作しているプロセスや自動化スクリプトもSYSTEMに昇格できてしまう。常時付与された特権アカウントがある場合、Just-In-Time（JIT）アクセスへの移行を検討したい。

Windows Updateを「様子見してから当てる」は今回は有効ではない。PoCが出回っているゼロデイである以上、パッチリスクよりも未適用リスクの方がはるかに高い。

筆者の見解

Windowsのセキュリティ改善は、ここ数年で着実に前進してきた。Smart App ControlやカーネルドライバーのPKI要件強化など、アーキテクチャレベルで攻撃面を削る取り組みは正しい方向性だと思っている。

それだけに、今回の「13日間・3エクスプロイト連鎖」という事態は、もったいないと率直に感じる。Defenderは10億台以上のデバイスで動くセキュリティの要であり、そのコアロジックにTOCTOUという古典的な競合状態が存在していたという事実は、品質管理の観点から真剣に受け止めてほしい。

MicrosoftにはDefenderを本物の「プラットフォーム型セキュリティ基盤」として育てる力がある。Sentinelやエンドポイント管理との深い統合、リアルタイムな異常検知のインテリジェンス——そういう方向に本気で投資すれば、「Defenderだから安心」と言えるエコシステムが作れるはずだ。

今回の件を一過性のバグ修正で終わらせず、Defender全体の脅威対処エンジンを見直す契機にしてほしい。それができる組織力があると信じているからこそ、注目し続けている。

とにかくまず、4月Patch Tuesdayを当てよう。それが今できる最善の一手だ。

出典: この記事は BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-day Vulnerability Explained の内容をもとに、筆者の見解を加えて独自に執筆したものです。