「Nightmare-Eclipse」が6週間でWindowsゼロデイを6件公開 — DefenderとBitLockerが攻撃面に

「Nightmare-Eclipse」と名乗る脅威アクターが2026年4月初頭から6週間にわたり、WindowsのDefenderやBitLockerを標的にした6件のゼロデイ脆弱性をGitHubに順次公開しており、Barracudaの調査でロシア系インフラを経由した実攻撃への悪用が確認されている。

Nightmare-Eclipseとは何者か

「Nightmare-Eclipse」（別名：Chaotic Eclipse、Dead Eclipse）は、GitHubとブログを拠点に活動する脅威アクターだ。セキュリティ研究者としての深いWindowsインターナルの知識を持ちながら、Microsoftへの個人的な恨みを唯一の動機として行動している点が際立っている。

本人は「Microsoftが合意を破り、自分を無一文のホームレスにした」と主張している。金銭目的でも国家支援でもなく、純粋な個人的報復だ。こうした動機の攻撃者は従来の脅威インテリジェンスの分類——ランサムウェア集団、国家支援APT——には収まらない。

6つのゼロデイ脆弱性の全貌

2026年4月初頭から5月時点で、以下の6件がGitHub上で公開されている：

名称 CVE パッチ状況

BlueHammer CVE-2026-33825 パッチ済み

RedSun なし（サイレントパッチ） パッチ済み

UnDefend 未割り当て 未パッチ

YellowKey 未割り当て 未パッチ

GreenPlasma 未割り当て 未パッチ

MiniPlasma 未割り当て 未パッチ

このキャンペーンで最も注目すべき点は、Microsoftのセキュリティ製品そのものを攻撃面として使っていることだ。DefenderやBitLockerを「回避する」のではなく、それ自体を経路や起点に変える手法は、Windowsに精通した内部者的な視点なしには設計できない。

実被害はすでに発生している

Huntress Labsが2026年4月10日時点で実攻撃を確認。ロシア系インフラに紐づく侵害活動への悪用が観測されており、CISAのKnown Exploited Vulnerabilities（KEV）カタログにも追加された。Microsoftは緊急パッチサイクルを余儀なくされている。

この攻撃者はProof-of-Concept（PoC）コードをPatch Tuesdayの直後に公開するという意図的なタイミングを取っている。パッチ適用猶予期間を最大限に活用し、修正が展開される前の脆弱性ウィンドウを狙い撃ちにする戦略だ。

さらに、「デッドマンズスイッチ」の存在が予告されており、リモートコード実行（RCE）脆弱性を含む追加公開を示唆していた。最新のMiniPlasmaは予告なしにリリースされたが、これが沈静化なのか次のフェーズへの移行なのかは現時点では判断がつかない。

対象プラットフォーム

影響範囲は広い：

• Windows 10 / Windows 11
• Windows Server 2016〜2025

コンシューマー端末から大規模なエンタープライズサーバーまで、Windowsエコシステムのほぼすべてがスコープに入る。

防御側が今すぐとるべき行動

Barracudaの分析を踏まえ、以下を優先して対処されたい：

1. CVE-2026-33825（BlueHammer）の即時パッチ適用 パッチが提供されている既知CVEは最優先で対処する。適用漏れがないか資産台帳と突合する。

2. BitLockerの構成強化と監視 攻撃者が明示的に標的にした以上、設定の見直しと異常アクセスの監視強化が急務。

3. エンドポイントに依存しない検知レイヤーの整備 侵害されたエンドポイント上のDefenderに頼らない、独立したネットワーク検知・IDコントロールの構築が有効。ゼロトラスト原則でいう「エンドポイントを暗黙的に信頼しない」の実装そのものだ。

4. 未パッチの4件の動向監視 UnDefend、YellowKey、GreenPlasma、MiniPlasmaは2026年5月時点で未パッチ。MicrosoftのMSRCおよびCISAの更新情報を継続的に追う体制を整える。

5. ロシア系IPレンジ・TORノードからの接続精査 既知の悪用インフラとの通信を可視化し、横展開の早期検知に活用する。

実務への影響

日本のエンタープライズ環境にとって、このケースが突きつける最も重要な教訓は「WindowsのネイティブセキュリティツールだけをDefenderとして扱うのは危険」という認識の更新だ。

Defenderが健在でも、UnDefendのような手法はDefender自体を経路に使う。BitLockerが有効でも、その実装を狙われる。単一レイヤーのエンドポイント防御に依存した設計が機能しなくなる攻撃手法が、今回明確に実証された形だ。

また、Patch Tuesday翌日に照準を合わせた公開戦略への対応として、パッチ適用サイクルの短縮化を検討する価値がある。「数日様子を見てから適用する」という判断が有効な場面もあるが、このような意図的なタイミング設計を持つ攻撃者に対しては、早期適用を原則とする局面だ。

筆者の見解

Nightmare-Eclipseのケースが改めて明確にするのは、現代の脅威が「組織化された敵」だけではないという事実だ。深いWindowsの知識を持つ個人一人が、6週間で6件のゼロデイを公開し、複数の組織に実害を与えられる。脅威インテリジェンスを国家支援やランサムウェア集団に絞る枠組みは、現実の脅威地図に追いついていない。

もう一点、今回の攻撃者が標的にしたのがDefenderとBitLockerという「Microsoftの守りの要」であることは、製品設計へのフィードバックとして重く受け止めるべきだ。セキュリティ製品が攻撃面に転用されるというシナリオへの耐性設計が、今後の製品開発で問われる。

Microsoftは圧倒的な規模とユーザーベースを持ち、セキュリティへの投資規模も業界最大級だ。その力があるなら、こうした攻撃に対してより強固なアーキテクチャで応えられるはずだし、実際に応えてほしい。脆弱性報告プロセスへの誠実な対応が、今回のような「研究者の離反」を予防する上でも重要な要素になる。攻撃者の主張の真偽はともかく、コミュニティとの信頼構築は技術的な防御と並行して投資すべき領域だ。

出典: この記事は Nightmare-Eclipse: Six Zero-Days, Six Weeks and One Big Grudge の内容をもとに、筆者の見解を加えて独自に執筆したものです。