Microsoft Defenderのゼロデイ「RoguePlanet」が公開——完全パッチ済みのWindows 11でもSYSTEM権限奪取が可能

2026年6月のPatch Tuesday適用からわずか数時間後、セキュリティ研究者「Nightmare Eclipse」がMicrosoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」の実証コード（PoC）を公開した。完全にパッチ済みのWindows 10/11環境でもSYSTEM権限を持つコマンドプロンプトを起動できるとされており、サイバーセキュリティ企業ThreatLockerが実際の再現に成功している。

RoguePlanetとは何か

RoguePlanetは、Microsoft Defenderに存在する競合状態（Race Condition）の脆弱性を悪用するものだ。攻撃が成功した場合、Windowsで最も高い権限レベルであるSYSTEM権限を持つコマンドプロンプトが起動される。

競合状態の脆弱性は環境によって成功率が変わる特性がある。Nightmare Eclipse本人も「マシンによっては100%成功する一方、うまく動かないケースもある」と説明しているが、ThreatLockerはKB5094126（2026年6月の更新プログラム）適用済みのWindows 11での動作を動画付きで確認・公表している。

当初はリモートコード実行（RCE）脆弱性だった

開発経緯を見ると、RoguePlanetはもともとリモートSMBサーバー上のVHD/VHDXファイルをMicrosoft Defenderが処理する際の不具合を突いたRCE脆弱性として研究されていた。

想定されていた攻撃シナリオは以下の通りだ：

• 攻撃者がリモートSMBサーバーに細工したVHDファイルを設置する
• 被害者がそのSMBシェアを開くよう誘導される
• Defenderがファイルを処理する際に自身のファイルを上書きし、RCEが発生する

さらにシンボリックリンク評価（Symlink Evaluation）が有効な環境では、SMBシェアを開かせるだけでRCEが成立する可能性もあったという。

しかしMicrosoftは5月中旬にmpengine!SysIO* APIを静かにパッチし、ジャンクション攻撃を遮断した。これによりRCEルートは封じられたものの、ローカル権限昇格（LPE）としての悪用可能性は残った形だ。研究者は「LPEにとどまるのかRCEへの経路が残っているのかは現時点では不明」としている。

Microsoftとの対立という背景

RoguePlanetの公開は、Nightmare EclipseとMicrosoftの継続的な摩擦の延長線上にある。この研究者はここ数ヶ月で複数のWindowsゼロデイを立て続けに公表してきた。

• BlueHammer — Windowsコンポーネントの脆弱性
• RedSun — Microsoft Defenderを標的とした脆弱性
• GreenPlasma — 今回のPatch Tuesdayで修正済み
• YellowKey — 今回のPatch Tuesdayで修正済み

研究者はGitHubおよびGitLab上のリポジトリをMicrosoftに削除されたと主張しており、独自のセルフホステッドコードプラットフォーム（projectnightcrawler.dev）を構築するに至っている。MicrosoftはかつてNightmare Eclipseに対し「悪意のある活動には法執行機関と連携する」と警告しており、セキュリティコミュニティの一部はこれを研究者への圧力と捉えている。

企業IT管理者が今すぐ取るべき緩和策

現時点でRoguePlanetに対応するMicrosoft公式パッチはリリースされていない。組織として取れる対策は以下の通りだ。

1. アプリケーション許可リストの導入

ThreatLockerのDanny Jenkins CEOが明言している通り、アプリケーション許可リスト（Application Allowlisting）を導入している組織ではこのエクスプロイトの実行を防げる。Windows標準のWindows Defender Application Control（WDAC）やMicrosoft Intuneとの統合が現実的な選択肢だ。

2. 最小権限の原則の徹底

LPEはローカル環境へのアクセスが前提となるため、エンドポイントで一般ユーザーにローカル管理者権限が付与されていないかを今すぐ確認する。権限を絞るだけで被害の拡大を大幅に抑制できる。

3. ふるまい検知（Behavioral Detection）の強化

競合状態を悪用する攻撃は挙動面での痕跡が残りやすい。EDRソリューションのふるまい検知ルールを最新に保つことが有効だ。

4. 不審なSMBトラフィックの監視

元のRCEシナリオはSMBを経路としていた。外部からのSMBアクセスをファイアウォールでブロックし、内部SMBトラフィックの異常を監視する体制を整えておきたい。

筆者の見解

今回の件で改めて考えさせられるのは、脆弱性開示プロセスの信頼関係だ。

Nightmare Eclipseが次々とゼロデイを公開しているのは、バグバウンティや協調開示（Coordinated Vulnerability Disclosure）への不満が背景にある。研究者とベンダーの関係が壊れると、最終的にリスクを負うのはエンドユーザーと企業だ。Microsoftにはセキュリティ研究コミュニティとの関係を正面から立て直してほしい。優れたセキュリティ製品を持つ企業として、研究者を追いかける立場ではなく、共に脆弱性をつぶしていく関係を築ける力があるはずだ。

技術面では、競合状態の脆弱性はパッチ後も派生した経路から再発しやすい。Defenderはシステムの最深部で動作するコンポーネントだけに、そのコードの安全性は特別に厳格であるべきで、今回の経緯はその難しさを改めて示している。

現実的な防御策として強調したいのがアプリケーション許可リストの重要性だ。「禁止ではなく安全に使える仕組みを」という視点から、WDACやIntuneを活用した許可リスト管理はゼロデイ対策として平時から効果を発揮する。ゼロデイが公開されてから慌てて動き始める前に、今日から検討してほしい。

出典: この記事は Microsoft Defender ‘RoguePlanet’ zero-day grants SYSTEM privileges の内容をもとに、筆者の見解を加えて独自に執筆したものです。