セキュリティ研究者「Nightmare Eclipse」(別名Chaotic Eclipse)が2026年7月16日、Microsoft Windowsの未修正の権限昇格脆弱性「LegacyHive」の実証コード(PoC)を公開した。Windowsのユーザープロファイル管理を担う「User Profile Service」に存在する欠陥で、管理者を含む他ユーザーのレジストリハイブを読み込めてしまう。公開のタイミングは2026年7月のPatch Tuesday直後だった。Microsoftは本記事の取材に対し「報告された脆弱性を認識しており、有効性と影響範囲を調査中」とコメントしている。

LegacyHiveの仕組み

User Profile Serviceは、ユーザーのサインイン時に個々のレジストリハイブ(NTUSER.DATUsrClass.datなど)をロードする役割を持つ。LegacyHiveは、この読み込み処理の権限チェックに不備があり、標準ユーザー権限のプロセスから他ユーザーのハイブ(管理者アカウントのものを含む)をマウントできてしまう。

興味深いのは、今回のPoCが「あえて弱体化」されている点だ。研究者自身の説明によれば、元の欠陥は認証情報なしで任意のハイブを読み込めたが、公開版では「別の標準ユーザーの認証情報」と「対象ユーザー名(管理者アカウントでも可)」を要求するよう制限を加えている。任意ハイブの読み込みは依然として可能だが、悪用にはひと手間必要になるよう調整したという。過去にNightmare Eclipseが公開したBlueHammer、RedSun、UnDefend(いずれも実際の攻撃で悪用済み)、GreenPlasma、RoguePlanet、YellowKey、GreatXMLと合わせると、Microsoft製品を狙ったゼロデイ公開はすでに7件を超える。

実務への影響

LegacyHiveはリモートから直接侵入できる脆弱性ではなく、あくまで「すでに端末上で標準ユーザー権限を得ている攻撃者」が管理者権限に昇格するためのものだ。つまりフィッシングや別の初期侵入手段とセットで使われて初めて脅威になる。パッチが未提供の現状、IT管理者は以下を優先したい。

  • EDR/XDRでUser Profile Service周りの異常なレジストリハイブ操作を検知対象に追加する
  • ローカル管理者権限の常時付与を洗い出し、Just-In-Time(JIT)昇格に切り替える
  • 共有端末・VDI環境ではプロファイル分離設定を再確認する
  • Microsoftからの正式パッチ公開後は速やかに適用しつつ、まず数日程度は不具合報告がないか様子を見る判断も選択肢に入れる

筆者の見解

正直に言うと、セキュリティの脆弱性情報を一件一件細かく追いかけるのはあまり得意な方ではない。ただ、こうした特権昇格の欠陥がどこで起きているかには技術的にとても興味がある。今回のLegacyHiveも本質は「常時付与された高い権限が、想定外の経路で奪われる」という話で、これはゼロトラストの文脈でずっと言い続けている「常時アクセス権の付与こそが特権アカウント管理における最大のリスク」という原則そのものだ。ローカル環境であっても、管理者権限を常時持たせず、必要な時だけJITで昇格させる仕組みにしていれば、この種のバグの実害はぐっと小さくなる。

Microsoftを応援する立場から率直に言えば、同じ研究者から立て続けにゼロデイを公開され続けている状況はもったいない。OSの根幹であるプロファイル管理・ハイブ読み込みまわりの権限モデルは、そろそろ抜本的に見直す価値があるはずだ。ここを正面から作り直せる技術力があるのはMicrosoft自身がいちばんよく分かっているだろうし、今回のような報告が積み重なるほど、腰を据えた見直しへの期待も強くなる。


出典: この記事は Nightmare Eclipse Drops ‘LegacyHive’ Windows Zero-Day の内容をもとに、筆者の見解を加えて独自に執筆したものです。