【ゼロデイ】「MiniPlasma」PoCが公開——完全パッチ済みWindows 11でもSYSTEM権限奪取が可能

セキュリティ研究者「Chaotic Eclipse」が、Windowsの権限昇格ゼロデイ脆弱性「MiniPlasma」の概念実証（PoC）コードをGitHubで公開した。2026年5月のPatch Tuesdayを適用した完全パッチ済みのWindows 11 Pro環境でも動作が確認されており、標準ユーザー権限からSYSTEM権限への昇格が可能になる深刻な問題だ。

何が問題なのか

MiniPlasmaが悪用するのは、Windowsの cldflt.sys（Cloud Filter ドライバー）に含まれる HsmOsBlockPlaceholderAccess ルーティンの不具合だ。このドライバーはOneDriveのオンデマンド同期など、クラウドストレージのプレースホルダー管理に使われているコンポーネントである。

具体的には、ドキュメント化されていない CfAbortHydration APIを通じたレジストリキーの生成処理に問題がある。適切なアクセスチェックなしに .DEFAULT ユーザーハイブ配下へ任意のレジストリキーを書き込める状態になっており、これを足がかりに権限昇格が実現する。

BleepingComputerの検証では、標準ユーザーとしてexeを実行するだけで、SYSTEM権限のコマンドプロンプトが開いたことが確認されている。

「修正済み」のはずが、なぜ今？

実はこの脆弱性は新発見ではない。2020年9月、Google Project ZeroのJames Forshaw氏がMicrosoftに報告し、CVE-2020-17103として同年12月のPatch Tuesdayで修正済みとアナウンスされていた。

Chaotic Eclipse氏が再調査したところ、「パッチが当たっていない状態と同一の問題がそのまま残っていた」という。Forshaw氏が当時公開したオリジナルのPoCコードが修正なしで動作したと述べており、パッチが最初から機能していなかったのか、あるいは何らかの理由でサイレントにロールバックされたのかは不明としている。

Microsoftは本件について現時点でコメントを出していない。

Insider Preview Canaryでは動作しない

脆弱性アナリストのWill Dormann氏が独立した検証を行い、最新の公開版Windows 11では再現を確認した一方、Windows 11 Insider Preview Canaryビルドでは動作しないことも確認している。これはMicrosoftがCanaryチャンネルで何らかの対応を進めている可能性を示唆しており、正式なパッチが近い将来リリースされることへの期待材料となっている。

連続ゼロデイ公開の背景

MiniPlasmaはChaotic Eclipse氏による一連のゼロデイ公開の最新版だ。過去数週間で以下の脆弱性・ツールが公開されており、そのすべてが実際の攻撃への悪用が確認されている：

名称 概要

BlueHammer（CVE-2026-33825） Windowsローカル権限昇格

RedSun 権限昇格（CVE未採番でサイレント修正）

UnDefend Windows Defender サービス妨害ツール

YellowKey BitLockerバイパス（TPM-only構成に影響）

GreenPlasma 権限昇格

Chaotic Eclipse氏はこれらの公開が「Microsoftのバグバウンティおよび脆弱性対応プロセスへの抗議」であると表明しており、Microsoftから個人的な脅迫を受けたと主張している。脆弱性開示の経緯として異例であることは確かだが、公開されたPoCが悪用されているという事実は変わらない。

日本のIT現場への影響

権限昇格の脆弱性は、それ単体では侵入の入口にはならない。しかし「初期侵害 → 権限昇格 → ラテラルムーブメント」という典型的な攻撃チェーンの中間ステップとして極めて有効であり、標準ユーザー権限でフィッシングマルウェアが実行された後の被害拡大を一気に加速させる。

特に日本企業では「一般ユーザーには管理者権限を与えていない」をセキュリティ対策として強調するケースが多い。しかしこの脆弱性が悪用されると、その境界線を突破できてしまうため、過信は禁物だ。

当面の対応指針：

• エンドポイントEDR・XDRの検知ルールを確認する — 権限昇格の挙動（標準ユーザープロセスからのSYSTEM権限プロセス生成）を検知できる構成になっているか見直す
• Windows Insider Preview Canaryでの修正を注視する — Canaryで動作しないことが確認されているため、公式パッチのリリースタイミングをMicrosoft Security Response Center（MSRC）で確認し、リリース次第優先適用する
• 最小権限の徹底を再確認する — 権限昇格脆弱性の被害を限定するうえで、日常業務における不要な権限の棚卸しは依然として有効な対策
• BitLocker設定の見直し — YellowKeyとの組み合わせを考慮し、TPM-onlyのBitLocker構成を使っている端末はPINやネットワークアンロックの追加を検討する

筆者の見解

セキュリティネタは正直あまり好きなジャンルではないのだが、今回の件はWindowsを追う立場として看過できない。

問題の本質は、脆弱性が修正されたとMicrosoftが発表した後も、6年近くにわたって実際には修正されていなかった可能性にある。CVEを発番してPatch Tuesdayに組み込み、「対応済み」として公表したにもかかわらず、実態が伴っていなかったとすれば、パッチ管理プロセス自体への信頼に関わる話だ。

もっとも、Canaryビルドで修正が入りつつあることは見逃せない。Microsoftは社内で問題を認識して動いているはずで、正式なリリースを待ちたい。

研究者の公開手法については賛否ある。PoCが攻撃者に悪用されるリスクを考えると無条件に支持できるものではない。ただ、バグバウンティや脆弱性開示の仕組みが研究者にとって機能していなければ、善意の研究者が適切なルートで報告するインセンティブを失う。Microsoftほどの体制があれば、研究者コミュニティとの関係を建設的に維持できるはずだし、そうした実力があるからこそ惜しいと感じる。

今後数週間が正念場だ。公式パッチが出たら即適用を推奨する。

出典: この記事は New Windows ‘MiniPlasma’ zero-day exploit gives SYSTEM access, PoC released の内容をもとに、筆者の見解を加えて独自に執筆したものです。