Microsoftは2026年7月8日(現地時間)、Windows標準のセキュリティ機能であるMicrosoft Defenderのゼロデイ脆弱性「RoguePlanet」(CVE-2026-50656)を修正した。完全にパッチ適用済みのWindows 10・Windows 11環境でも、レースコンディション(競合状態)を突くことでSYSTEM権限のコマンドプロンプトを起動できるというもので、セキュリティ研究者「Nightmare Eclipse」がMicrosoftの脆弱性開示プログラムへの不満から、正式な修正提供前に検証コード(PoC)を自らホストするGitリポジトリで公開していた。
RoguePlanetの正体 ― Defender自身の「隙」を突く攻撃
RoguePlanetは、Defenderのスキャン処理に潜む競合状態を悪用する。成功率は環境依存で「マシンによっては100%成功するが、別のマシンでは失敗しやすい」とNightmare Eclipse自身が説明している。注目すべきは、リアルタイム保護の有効・無効に関わらずPoCが動作した点だ。防御機能そのものが攻撃の足がかりになるという、皮肉な構図である。
Microsoftは6月16日時点で修正作業に着手していることを認めていたが、Nightmare Eclipseを発見者として公式にクレジットはしていない。今回の修正は、通常のPatch Tuesdayとは別系統である「Microsoft Malware Protection Engine」(バージョン1.1.26060.3008)の更新として配布された。Defenderのシグネチャ更新と同じ経路で自動配信されるため、多くの環境では気づかないうちに適用されている可能性が高い。
研究者との根深い対立
今回の開示は単発ではない。Nightmare Eclipseはここ数カ月、BlueHammer、RedSun、GreenPlasma、MiniPlasma、YellowKey、UnDefendと、Defender・BitLocker・Windowsコンポーネントにまたがる複数のゼロデイを次々と公開してきた(GreenPlasma・MiniPlasma・YellowKeyは6月のPatch Tuesdayで修正済み)。
背景にはMicrosoftのバグバウンティ・脆弱性開示プロセスへの不満がある。Nightmare EclipseはGitHub・GitLabでホストしていたPoCリポジトリをMicrosoftに削除されたと主張し、以降は自前のGitサーバーで公開する方針に転じた。さらにMicrosoftは「顧客に実害を与える悪意ある行為」への法的措置も辞さないとする声明を出しており、セキュリティ専門家の間ではこれが実質的に研究者本人への警告と受け止められている。
実務への影響
日本のIT管理者にとって重要なのは、この修正がWindows Updateの通常サイクルではなく、Malware Protection Engineの自動更新で配布されている点だ。多くの環境では自動適用済みだが、次のコマンドで現在のエンジンバージョンを確認しておきたい。
Get-MpComputerStatus | Select-Object AMEngineVersion, AntivirusSignatureVersion
WSUSやIntune、SCCMでDefenderの更新配信を制御している場合、シグネチャ更新だけでなくエンジン本体の更新もブロックされていないか確認する価値がある。またNightmare Eclipseの開示ペースからすると、Defender・BitLocker関連のゼロデイは今後も続く可能性が高く、継続的なウォッチをお勧めする。
筆者の見解
セキュリティ分野は正直、得意というより「技術的に気になるから追いかけている」領域に近いが、今回は技術面よりガバナンス面で考えさせられた。
Defenderは全Windows環境に標準搭載される、いわば最後の砦だ。その防御機構自体に競合状態の欠陥が見つかり、しかも「保護が有効でも無効でも突破できる」というのは、単一レイヤーを過信せず、ネットワーク・認証・認可の多層防御を前提に設計すべきだという普段の主張を改めて裏付ける事例だと感じる。
一方でMicrosoftの対応には、応援する立場から見てももったいなさを感じる部分がある。研究者との関係がこじれてPoCが正式パッチ前に公開されてしまう状況は、脆弱性開示プログラムの運用に改善の余地があることを示している。法的措置をちらつかせる姿勢よりも、研究者が正規のルートを使いたくなるような公正で迅速な開示プロセスを整えることの方が、結果的にユーザーを守ることにつながるはずだ。Microsoftほどの規模とブランド力があれば、業界標準となる開示プログラムを作れる力は十分にあるのだから、そこは正面から向き合ってほしい。
出典: この記事は Microsoft patches RoguePlanet Defender zero-day vulnerability の内容をもとに、筆者の見解を加えて独自に執筆したものです。