セキュリティ研究者「Chaotic Eclipse」が公開した新たなWindowsゼロデイ「MiniPlasma」は、2026年5月度のPatch Tuesdayで完全パッチが適用されたWindows 11でも、標準ユーザーアカウントからSYSTEM権限への昇格を可能にすることがThreatLockerの検証により確認された。公式パッチは現時点で未提供だ。

MiniPlasmaとは何か

MiniPlasmaは、Windows Cloud Filterドライバー(cldflt.sys)の脆弱性CVE-2020-17103を悪用したローカル特権昇格エクスプロイトだ。この脆弱性はGoogle Project ZeroのJames Forshaw氏が2020年9月にMicrosoftへ報告し、同年12月にパッチが適用されたとされていた。

しかし研究者によれば「パッチが正しく適用されなかったか、いつの間にか無効化された」可能性があるとのこと。実際、2020年当時のGoogle Project ZeroのPoC(概念実証コード)をほぼ改変なしに使用できたという。MiniPlasmaはそのPoCを「標準ユーザーシェルからSYSTEMシェルを起動する」形に改造した実用的なエクスプロイトである。

技術的な仕組み

脆弱性の核心は、Cloud FilterドライバーのHsmOsBlockPlaceholderAccessルーティンにある。OneDriveなどクラウドバックアップのファイル処理を担うこのコンポーネントに、未文書化のCfAbortHydration APIを通じたレジストリキー操作の欠陥が存在する。

攻撃者はこの欠陥を利用し、アクセス制御チェックなしにDEFAULTユーザーハイブへレジストリキーを書き込める。これが特権昇格のトリガーとなり、最終的にSYSTEMレベルのコード実行に至る仕組みだ。エクスプロイトはレースコンディション(競合状態)を利用するため成功率は環境によって変動するが、ThreatLockerの検証では最新パッチ適用済みWindows 11上で成功が確認されている。

同コンポーネントの前歴

Cloud Filterドライバーをめぐっては、2025年12月にも別の特権昇格脆弱性(CVE-2025-62221)がパッチされており、その時点で野良での悪用が確認されていた。同じコンポーネントに繰り返し問題が発生している点は注目に値する。

影響を受けるバージョンと現状

確認されている影響バージョン:

  • Windows 11(2026年5月最新パッチ適用済みを含む)
  • Windows Server 2022 / 2025

Windows 10は影響を受けないとされている。一方、Windows 11 Insider Preview(Canaryチャネル)では動作しないことが確認されており、将来の正式パッチに向けた修正が進んでいる可能性を示唆する。

OneDriveとの統合によりCloud FilterドライバーはほぼすべてのWindows 11環境に標準搭載されているため、潜在的な影響範囲は極めて広い。Microsoftは「調査中」としており、2026年6月10日のPatch Tuesdayでの対応可否が注目される。

実務への影響——IT管理者が今すぐ確認すべきこと

1. アプリケーション制御ポリシーの見直し

ThreatLockerの検証で明らかなとおり、「デフォルト拒否(default-deny)」のアプリケーション許可リスト(Application Allowlisting)が有効な環境では、エクスプロイトのペイロード実行自体がブロックされる。MiniPlasmaを事前に「知っている」かどうかに関係なく、未承認の実行ファイルはすべて止まる。Windows Defender Application Control(WDAC)やAppLockerを活用している組織は基本的な耐性を持つ。

2. 標準ユーザー運用の徹底確認

このエクスプロイトは標準ユーザー権限から発動する。ローカル管理者権限を一般ユーザーへ付与していないか、改めて確認するタイミングだ。

3. Patch Tuesdayの動向を注視

本日6月10日のPatch Tuesdayでの対応有無をMicrosoftのセキュリティ情報で確認し、修正が含まれていれば迅速な適用計画を立てること。

筆者の見解

今回のMiniPlasmaで最も気になるのは、「2020年に修正済みとされたCVEが2026年に再登場した」という事実だ。パッチが実は正しく適用されなかった、あるいはどこかのタイミングで無効化されたというシナリオは、パッチ管理への信頼性を根底から問い直す。「今動いているから大丈夫」という感覚がどれほど危ういかを示す典型例といえる。

Cloud Filterドライバーが繰り返し攻撃経路になっている点は、Microsoftにはぜひ腰を据えて取り組んでほしい領域だ。OneDriveの統合という価値ある機能を支えるコンポーネントだからこそ、根本的な設計の見直しに踏み込む価値がある。実力のある組織なのだから、「また同じ場所で」とならないよう期待したい。

前向きなシグナルとして、Canary Buildでは動作しないという報告がある。修正の芽は既に存在する。問題はそれが正式リリースに降りてくる速度だ。

防御の観点では、今回改めて「アプリケーション制御(default-deny)」の有効性が証明された。ゼロトラストの思想は「信頼しない」だけでなく「実行させない」という層を含む。パッチを待っている間にも取れる対策は確かにある。

出典: この記事は MiniPlasma: Windows privilege escalation zero-day affects fully patched systems の内容をもとに、筆者の見解を加えて独自に執筆したものです。