Microsoft Defenderのゼロデイ「RoguePlanet」（CVE-2026-50656）、パッチ開発中——Windows 10/11でSYSTEM権限奪取のリスク

Microsoftは、Windows Defenderのゼロデイ脆弱性「RoguePlanet」（CVE-2026-50656）に対するパッチを現在開発中であることを公式に認め、セキュリティアドバイザリを公開した。完全パッチ適用済みのWindows 10・11でも悪用可能であり、パッチ提供時期は未定のまま攻撃リスクがさらされている。

RoguePlanetとはどんな脆弱性か

RoguePlanetはMicrosoft Malware Protection Engine——Defenderのコアエンジン——に存在するレースコンディション（競合状態）の脆弱性だ。攻撃者がこれを悪用すると、SYSTEM権限でコマンドプロンプトを起動できてしまう、いわゆる「特権昇格（EoP）」の脆弱性である。OSの最上位権限を乗っ取られることを意味し、その先の攻撃展開は無制限に広がる。

この脆弱性を発見・公開したのは「Nightmare Eclipse」と名乗るセキュリティ研究者。2026年6月のPatch Tuesday当日に、PoC（概念実証コード）を自前のGitリポジトリで公開した。GitHubやGitLabは以前MicrosoftからのリクエストでリポジトリをBanされたとして、自ホスティングに切り替えている。

レースコンディション脆弱性ゆえの「不規則性」

レースコンディション系の脆弱性は確率的な挙動をとる。Nightmare Eclipse本人も「一部のマシンでは100%成功したが、別のマシンでは不安定だった」と述べており、環境依存性が高い。

ただし特に注目すべきは、リアルタイム保護が有効でも無効でも機能するという点だ。「Defenderを有効にしているから安全」という思い込みは今回には通じない。セキュリティ製品そのものが攻撃ベクターになるという皮肉な状況であり、管理者はDefenderの状態だけで安全を判断しないよう気をつけたい。

MicrosoftはCVE-2026-50656として正式にIDを割り当て、「高品質なセキュリティアップデートを提供するために取り組んでいる」とアドバイザリで述べているが、リリース時期の明言はない。

研究者とMicrosoftの長期的な対立

RoguePlanetは孤立した事例ではない。Nightmare Eclipseはここ数ヶ月で、BlueHammer・RedSun・GreenPlasma・MiniPlasma・YellowKey・UnDefendと、WindowsコンポーネントやDefender・BitLocker関連のゼロデイを次々と公開してきた。その背後にあるのは、Microsoftのバグバウンティ制度と脆弱性開示プロセスへの強い不満だ。

Microsoftはこれに対し「顧客に実害をもたらす悪意ある活動」への法的措置も辞さないと警告。セキュリティ研究者コミュニティの間では、この表現が研究者個人への脅しと受け取られ、批判を集めた。

なお、GreenPlasma・MiniPlasma・YellowKeyの3件は6月のPatch Tuesdayで修正済み。RoguePlanetはその後に開示されており、修正が未適用のまま残っている状況だ。

日本のIT管理者が今できること

パッチが存在しない以上、完全な防御は不可能だが、攻撃の連鎖を断ち切るための対策は存在する。

• Defenderの定義・エンジンを最新状態に維持する: 本脆弱性のパッチではないが、エンジン更新に関連する変更が含まれる可能性がある
• 最小権限の原則を徹底する: SYSTEM権限が奪われた後の横展開を防ぐため、アカウント分離・ネットワーク分離を強化する
• EDR/SIEMの検知ルールを見直す: 不審なSYSTEMプロセス生成やコマンドプロンプトの異常起動を検知できるルールが入っているか確認する
• パッチリリース即展開の体制を整備する: Defenderは自動更新が基本だが、組織ポリシーで遅延設定している場合は展開プロセスを前倒しで見直しておく

特に大規模環境では「パッチが出てから考える」では遅い。今のうちにDefender関連パッチの緊急展開フローを確認しておきたい。

筆者の見解

技術的に見て、Defenderのコアエンジンにレースコンディションが存在したという事実は興味深い。セキュリティ製品は高度に複雑なソフトウェアであり、こういった脆弱性がゼロになることは現実的にはありえない——そのこと自体は理解できる。

ただ、Nightmare Eclipseが次々とゼロデイを公開し続けるという異例の展開は、Microsoftのバグバウンティ制度の設計に根本的な問題があることを示唆している。研究者を「顧客への脅威」として法的に牽制するよりも、正当な報告に対して適切な評価と報奨を行う仕組みを整える方が、長期的には顧客保護につながるはずだ。Microsoftにはその実力があるからこそ、もったいないと感じる。

Defenderは世界中の何億台ものWindowsデバイスを守る要だ。その信頼性を高めるためにも、セキュリティ研究者コミュニティを敵に回すのではなく、協調関係を築く方向に舵を切ってほしい。今からでも遅くはないと思っている。

出典: この記事は Microsoft working on Defender patch for RoguePlanet zero-day の内容をもとに、筆者の見解を加えて独自に執筆したものです。