Windows Defender に3件のゼロデイ——パッチ未提供のまま実攻撃が進行中、CISA が5月6日までの対応を命令

セキュリティ研究者が開示プロセスへの不満から公開した Windows Defender の概念実証コード（PoC）が、今まさに実際の攻撃に転用されている。2026年4月24日、Huntress Labs が3件のゼロデイ脆弱性すべてが野放しで悪用されていることを確認した。CISA（米国サイバーセキュリティ・インフラストラクチャセキュリティ庁）は連邦機関に対して5月6日までのパッチ適用を命じており、民間企業も無関係ではいられない状況だ。

3件のゼロデイ脆弱性の概要

今回問題になっているのは、「Chaotic Eclipse」または「Nightmare-Eclipse」と名乗る匿名研究者が公開した以下の3つの脆弱性だ。

BlueHammer（CVE-2026-33825） Microsoft Defender のローカル権限昇格（LPE）脆弱性。SYSTEM 権限または管理者権限への昇格が可能。Huntress Labs によると4月10日から実際の攻撃で悪用が確認されており、3件の中で最も早期から活動が続いている。2026年4月の Patch Tuesday で修正済み。

RedSun（CVE 未採番） 同じく Defender の LPE 脆弱性。Windows 10・Windows 11・Windows Server 2019以降のすべてで、Defender が有効な環境であれば SYSTEM 権限を取得できる。Defender がクラウドタグ付きの悪意あるファイルを検出した際、そのファイルを元の場所へ再書き込みするという特異な挙動を悪用する。4月の Patch Tuesday を適用済みの環境でも依然として影響を受ける点が深刻だ。

UnDefend（CVE 未採番） 標準ユーザー権限のみで Defender の定義ファイル更新をブロックできる脆弱性。SSL VPN ユーザーアカウントが侵害されたデバイスで、攻撃者が RedSun と UnDefend を組み合わせて使用する「ハンズオン・キーボード」型の攻撃が確認されている。

PoCが公開された経緯

研究者はこれらの脆弱性を Microsoft のセキュリティ応答センター（MSRC）に報告したが、開示プロセスへの不満から「抗議」としてエクスプロイトコードを公開した。このケースは、ベンダーと研究者の間の責任ある開示（Coordinated Vulnerability Disclosure: CVD）の難しさを改めて浮き彫りにしている。

Microsoft は「セキュリティ上の問題を調査し、できる限り早く顧客を保護するためのアップデートを提供するコミットメントがある」と声明を出しているが、RedSun と UnDefend についてはパッチ提供時期が明示されていない。

実務への影響——日本のエンジニア・IT管理者が今すぐやること

1. 4月 Patch Tuesday の適用確認を最優先で BlueHammer のパッチは既にリリースされている。Windows Update・WSUS・Intune のいずれの環境でも、未適用デバイスがないかを即座に洗い出してほしい。

2. Defender 定義ファイルの最終更新日時を確認 UnDefend の悪用によって定義ファイル更新がブロックされている可能性がある。Defender for Endpoint や Intune のダッシュボードで、各デバイスの定義更新が正常に行われているか確認する。

3. 特権アカウントの棚卸しと JIT アクセスへの移行検討 LPE 系脆弱性は「標準ユーザー権限を持った侵入者が特権を奪取する」ための踏み台として使われる。日常的に管理者権限を付与したままにしているアカウントがないか、この機会に見直しを。Just-In-Time（JIT）アクセスの仕組みが整っていない環境では、今回のような攻撃への耐性が著しく低い。

4. EDR ログによる能動的な監視 「SYSTEM 権限への昇格イベント」「Defender 定義更新の連続失敗」といったシグナルを能動的に監視する。Defender for Endpoint の Advanced Hunting クエリを活用することで、侵害の痕跡を早期に検出できる。

5. VPN 起点の侵入経路を再評価 今回の攻撃では SSL VPN のユーザーアカウント侵害が侵入口になっているケースが確認された。VPN＋ユーザー名・パスワードという旧来のアクセスモデルの限界が、また一つ露わになった形だ。Entra ID の条件付きアクセスやデバイスコンプライアンスポリシーとの組み合わせによるゼロトラスト移行を、社内の意思決定に活用してほしい。

筆者の見解

「守るはずのセキュリティ機能そのものが攻撃の足がかりになる」という皮肉な構図だ。Defender の定義更新ブロックや、ファイル再書き込みという防御ロジックの裏をかく手法は、エンドポイントセキュリティの複雑さを象徴している。

研究者が PoCを公開した経緯については、業界として難しい問題を孕んでいる。責任ある開示は理想だが、ベンダー側の対応が遅いと研究者が判断した場合にどうするか——このジレンマの解決策は容易ではない。ただ、情報が公開された結果として利用者がリスクにさらされる現実は変わらない。

Microsoft について言えば、BlueHammer については4月の Patch Tuesday で迅速に対応した点は評価したい。一方で RedSun と UnDefend は実攻撃が続くなか未対応のままであり、「できる限り早く」という声明と現実のギャップが気になるところだ。MSRC には世界有数のセキュリティ対応力があると信じているからこそ、2件の早期解決を強く期待したい。もったいない状況が続いている。

現場でできることは今日からでも始められる。「今動いているから大丈夫」という油断が、ここ数週間で最も危険な判断になりうる。パッチ管理の徹底と特権アクセスの最小化・JIT 化——この2点から手をつけてほしい。

出典: この記事は Recently leaked Windows zero-days now exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。