Microsoft Defender にゼロデイ脆弱性2件が発覚、SYSTEM権限奪取とDoSが実攻撃で悪用中——CISAが政府機関に6月3日までの緊急対応を命令

Microsoft は2026年5月21日、Microsoft Defender に存在する2件のゼロデイ脆弱性に対するセキュリティパッチの配布を開始した。いずれも実際の攻撃に悪用されていることが確認されており、米国土安全保障省傘下のCISA（サイバーセキュリティ・インフラセキュリティ庁）も同日、政府機関に対して6月3日までの緊急対応を命じている。

2件の脆弱性の概要

CVE-2026-41091：SYSTEM権限を奪取される特権昇格

1件目は Microsoft Malware Protection Engine 1.1.26030.3008 以前 に存在する特権昇格の脆弱性。「リンクフォロー（link following）」と呼ばれる、ファイルアクセス前のリンク解決処理が不適切であることに起因する。

攻撃者がこれを悪用すると、最終的に SYSTEM権限（Windowsにおける最高権限）を取得できる。ローカルユーザーとして侵入さえできれば権限昇格が成立するため、フィッシングや別の脆弱性との組み合わせで悪用されるリスクが高い。

CVE-2026-45498：サービス拒否（DoS）状態を引き起こす

2件目は Microsoft Defender Antimalware Platform 4.18.26030.3011 以前 に存在する脆弱性で、System Center Endpoint Protection（2012 R2・2012）、Security Essentials にも影響する。

悪用されると Windows デバイスを サービス拒否（DoS）状態に陥らせることができる。セキュリティ製品そのものがダウンすることで、後続の攻撃への道が開かれる危険がある。

修正バージョンと対処法

Microsoft は以下のバージョンで修正を済ませている：

• Malware Protection Engine: 1.1.26040.8
• Antimalware Platform: 4.18.26040.7

Windows Defender のマルウェア定義とプラットフォームは既定で自動更新が有効になっているため、多くの環境では追加操作なしにパッチが適用済みのはずだ。

ただし、Microsoft は「自動更新に任せてよい」としつつも、以下の手順で適用確認を推奨している：

• 「Windows セキュリティ」アプリを開く
• 左ペインで「ウイルスと脅威の防止」を選択
• 「保護の更新」→「更新プログラムの確認」を実行
• 左ペインの「設定」→「バージョン情報」を開き、Antimalware Client Version を確認

バージョン番号が上記の修正バージョン以上であれば対応完了だ。

CISAの動きと日本への示唆

CISA は両脆弱性を 既知悪用脆弱性（KEV）カタログに追加し、連邦文民行政機関（FCEB）に対して BOD 22-01 に基づき 6月3日 までの対応を義務付けた。

「この種の脆弱性は悪意ある攻撃者にとって頻繁に使われる攻撃経路であり、連邦政府のエンタープライズに重大なリスクをもたらす」とCISAは警告している。

日本では法的な強制力を持つ命令こそ存在しないが、政府機関・重要インフラ事業者はCISAのKEVカタログを独自のパッチ優先度判定に活用することを強く推奨する。KEVに掲載された脆弱性は「理論上の危険」ではなく「現実の攻撃で使われている」という証拠だ。

実務での確認ポイント

• Intune / SCCM 管理環境: Defender の定義更新ポリシーが有効か、コンプライアンスレポートでバージョンを確認
• インターネット非接続環境（エアギャップ）: 自動更新が届かないため手動配布が必要。WSUS・オフライン定義更新の手順を確認
• System Center Endpoint Protection（SCEP）利用組織: CVE-2026-45498 の対象製品に含まれるため要注意
• SOC・セキュリティチーム: EDR ログで Defender プロセスへの異常な権限要求がないか遡及確認を推奨

筆者の見解

セキュリティ製品そのものが攻撃の踏み台になる——という構図は、管理者として最も悔しい類のインシデントだ。今回の CVE-2026-41091 は「SYSTEM権限奪取」という深刻さに加え、Defender が動いていることによる「安全という思い込み」が攻撃を助長するリスクまである。

Microsoft の自動更新の仕組みは、こういった緊急時に真価を発揮する。大半のエンドポイントがユーザー操作なしにパッチを受け取れる設計は正しいアプローチだ。ただ、実際の現場では「自動更新が有効のはずなのに適用されていなかった」というケースを何度も見てきた。今回のように実攻撃確認済みの脆弱性は、「たぶん当たってる」で済ませず、バージョン確認まで手を動かしてほしい。

CISAの2週間という期限は、企業にとっても事実上のベンチマークになる。「政府機関向けの話」と流さず、自社の Defender バージョン管理とパッチ適用確認プロセスを見直す機会として捉えてほしい。

出典: この記事は Microsoft warns of new Defender zero-days exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。