米Microsoftは現地時間2026年6月9日(火)の定例セキュリティ更新(Patch Tuesday)で約200件の脆弱性を修正した。そのなかには、「Nightmare Eclipse」というハンドルネームを持つ独立系セキュリティ研究者が公開した高深刻度のゼロデイ2件も含まれている。Ars Technicaのセキュリティ担当記者Dan Goodin氏が同日詳細を報じた。

背景:研究者とMicrosoftの開示プログラム紛争

今回の修正には、単なる技術的な脆弱性対応を超えた複雑な背景がある。Nightmare Eclipseは過去数ヶ月にわたり、PoC(概念実証コード)付きで複数の高深刻度脆弱性をゼロデイとして公開してきた。

研究者は2026年3月、「Microsoftが合意を破り、私は家も何も失った。こうなることは彼らも分かっていたのに、それでも裏切った」と公表。脆弱性開示プログラムをめぐる合意違反を主張している。

これに対しMicrosoftは「責任ある開示を行っていない」として公式に批判し、法的措置の可能性を示唆した。しかし公開の批判(バックラッシュ)を受け、その後「法的措置は行わない」と態度を軟化させた。

今回修正されたゼロデイ2件

CVE-2026-45586(GreenPlasma)

Nightmare Eclipseが「GreenPlasma」の名称で2026年5月に公開していた脆弱性で、今回のPatch Tuesdayで修正された。Ars Technicaの報道によると、Windows Collaborative Translation Frameworkにおける「リンク解決の不備(link following)」が原因のローカル特権昇格(LPE)脆弱性だ。

単体では低権限ユーザーの範囲内での動作にとどまるが、別の脆弱性と組み合わせることでOS保護機構を回避し、マルウェアのインストールに必要なSYSTEM権限を獲得できる。Microsoftは「悪用の複雑さは低く、ユーザー操作も不要。野放し状態での悪用が発生する可能性が高い」と評価している。現時点では実際の悪用事例は確認されていないとのこと。

CVE-2020-17103(MiniPlasma)

同じくNightmare Eclipseが「MiniPlasma」として公開していた脆弱性。Ars Technicaの報道によれば、Microsoftの追跡番号はCVE-2020-17103——なんと6年前に一度修正済みの脆弱性のリグレッション(退行)または不完全な修正に起因するという。同社は今回のセキュリティ情報を更新して「再公開(republication)」の旨を明記する予定としている。

未修正のまま残る脆弱性

Ars Technicaの報道では、Nightmare Eclipseが開示した他の脆弱性には、まだ修正されていないものも複数あるとされている。

  • YellowKey:BitLockerのフルディスク暗号化を回避できる脆弱性。Microsoftは手動の緩和手順を公開したが、根本原因の修正はまだ実施されていない。物理的なアクセスを前提とする攻撃者にとってBitLockerが機能しなくなるシナリオは深刻
  • RedSun:Windows Defenderに存在するとされる脆弱性
  • BlueHammer:GreenPlasmaと同様にSYSTEM権限取得が可能なローカル特権昇格の脆弱性

さらに、Nightmare Eclipseは今回のPatch Tuesdayと同日に、Windows Defenderを標的とした新たな競合状態(レースコンディション)の脆弱性コードを新たに公開している。

日本市場での注目点

今回のPatch TuesdayはWindows 10 / 11を使用するすべての日本ユーザーおよびエンタープライズ環境に直接影響する。Windows Updateが有効であれば自動的に適用されるが、以下の点に注意が必要だ。

  • CVE-2026-45586は「悪用可能性:高」と評価されているため、企業・組織では即時適用を推奨する
  • YellowKeyは根本的な修正がなされていない。持ち運びPCや共用PC等、物理アクセスが想定される環境では、Microsoftが公開する緩和手順の適用を至急検討すること
  • BitLockerをセキュリティの柱として採用しているゼロトラスト構成の環境は特に要注意。緩和策の有効性を確認しつつ、追加のエンドポイント保護層の設置を検討すべき状況にある
  • 約200件という修正件数は今年有数の大規模更新となる。テスト環境での事前検証を経てから本番展開する運用フローを踏むことを強く推奨する

筆者の見解

今回の一連の経緯を見て率直に感じるのは、「Microsoftほどの力があるなら、正面から向き合える体制を作ってほしい」ということだ。

脆弱性開示プログラム(VDP/バグバウンティ)は、セキュリティ研究者コミュニティとの信頼関係で成り立つ。今回、研究者側にどれほどの問題があったとしても、「法的措置をちらつかせる」という対応は逆効果で、コミュニティ全体が萎縮するリスクをはらむ。実際、バックラッシュを受けてMicrosoftが態度を軟化させたという展開自体が、その判断の誤りを物語っている。

YellowKeyのように、根本原因を修正しないまま緩和手順の案内にとどまるケースも引っかかる。修正に時間がかかること自体は理解できる。だが「いつまでに」「どのような形で」根本修正を提供するかを明示することは、WindowsというOSに依存している何億というユーザーに対して果たすべき責任ではないだろうか。

6年前に修正済みのCVEがリグレッションとして再登場したMiniPlasmaの件も含め、今回のPatch Tuesdayはセキュリティ開発プロセスと外部研究者との協力体制について、改めて考えさせられる内容だった。Windowsに大きく依存している日本のエンタープライズ環境だからこそ、こうした動向は細かくウォッチしておきたい。

出典: この記事は Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed の内容をもとに、筆者の見解を加えて独自に執筆したものです。