Microsoft Defenderに影響するとされる未修正の脆弱性「RoguePlanet」の実証コードが公開されました。悪用に成功すると、Windows上で強い権限を持つSYSTEMとしてコマンドを実行できる可能性があります。2026年6月の更新を適用したWindows 10とWindows 11でも動作したと報告されており、Microsoftは内容の妥当性と影響範囲を調査しています。
The Hacker News:Microsoft Defender RoguePlanet Zero-Day Grants SYSTEM Access on Updated Windows
この記事のポイント
影響のあるシステム
- Microsoft Defenderが動作するWindows環境
- 2026年6月の月例セキュリティ更新を適用したWindows 10
- 2026年6月の月例セキュリティ更新を適用したWindows 11
- Windows Serverも脆弱である可能性があると研究者は説明していますが、現在公開されているPoCはそのままでは動作しないとされています
- 元記事の公開時点では、RoguePlanetに対応するCVE番号やCVSSスコアは記載されていません
推奨される対策
- Microsoftの公式発表、セキュリティアドバイザリ、修正プログラムの公開状況を継続的に確認する
- RoguePlanetへの修正とは別に、WindowsとMicrosoft Defenderを利用可能な最新状態に維持する
- 利用者が信頼できないプログラムやスクリプトを端末上で実行できないよう、アプリケーション実行制御を見直す
- 標準ユーザーのアカウント侵害を防ぐため、認証情報の保護やフィッシング対策を徹底する
- SYSTEM権限で起動した不審なコマンドプロンプトや、通常とは異なるプロセス実行を監視する
- Windows Serverでは現在のPoCが動作しないという情報だけを理由に、影響がないと判断しない
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- RoguePlanet:Microsoft Defenderに影響するとして研究者が公表した脆弱性およびPoCの名称です。元記事公開時点では、CVE番号とCVSSスコアは記載されていません。
- ゼロデイ脆弱性:修正プログラムが提供されていない、または利用者へ十分に行き渡っていない段階で情報が公開された脆弱性です。
- PoC:Proof of Conceptの略で、脆弱性を技術的に再現できることを示す実証コードや手順です。
- レースコンディション:複数の処理が実行される順序やタイミングによって、想定外の動作が発生する問題です。
- SYSTEM権限:Windows上で使用される非常に強い権限です。多くのシステム設定やファイル、プロセスへアクセスできます。
- 権限昇格:標準ユーザーなどの限られた権限から、管理者やSYSTEMといった、より強い権限を取得することです。
- 協調的な脆弱性開示:製品提供者へ脆弱性を事前に報告し、修正や利用者への告知について調整してから情報を公開する取り組みです。
Defenderを経由してSYSTEM権限を取得する可能性
RoguePlanetは、Microsoft Defenderに存在するとされるレースコンディションを利用するPoCです。レースコンディションでは、複数の処理が実行されるわずかなタイミングの差によって、本来は許可されない処理が成立する場合があります。今回公開されたPoCが成功すると、Windows上でSYSTEM権限を持つシェルが起動し、任意のコード実行や許可されていない操作につながる可能性があると報告されています。
SYSTEMは通常のユーザーアカウントや一般的な管理者アカウントよりも、OS内部で強い権限を持つアカウントです。この権限が攻撃者に取得された場合、システム設定の変更、セキュリティ機能への干渉、保存された情報へのアクセスなどに悪用される可能性があります。ただし、元記事ではRoguePlanetを使用した具体的な攻撃事例や、実際の被害が確認されたとは報告されていません。
また、研究者自身が説明しているように、PoCの成否は端末によって異なります。一部の環境では高い成功率を確認した一方、別の環境では正常に動作しにくかったとされています。別のセキュリティ研究者は、自身の検証環境では最初の試行で動作したと述べています。成功率が一定でないことは、安全であることを意味しません。実証コードが公開されている以上、影響を受ける可能性がある組織は、Microsoftの調査結果を継続して確認する必要があります。
2026年6月の更新を適用したWindowsでも動作
研究者によると、RoguePlanetのPoCは、2026年6月のPatch Tuesday更新をインストールしたWindows 10およびWindows 11で検証されています。このため、同月のセキュリティ更新を適用していることだけでは、RoguePlanetに対処できているとは判断できません。もっとも、Windows UpdateにはRoguePlanet以外の多数の脆弱性に対する修正が含まれるため、今回の問題を理由に更新を停止したり、適用を見送ったりすることは適切ではありません。
現在公開されているPoCは、Windows Serverではそのまま動作しないと説明されています。研究者は、その理由として、標準ユーザーがISOイメージをマウントできない点を挙げています。一方で、Windows Server自体が脆弱性の影響を受けないという意味ではなく、サーバー上で動作させるにはPoCの設計変更が必要であると主張しています。この説明は研究者による評価であり、Microsoftが正式に確認した影響範囲ではありません。
MicrosoftはThe Hacker Newsへの回答で、報告された脆弱性を認識しており、主張の妥当性と適用可能性を調査していると説明しています。また、セキュリティ上の問題を調査し、影響を受ける製品を可能な限り早く更新する方針を示しています。元記事の公開時点では、RoguePlanetに割り当てられたCVE番号、CVSSスコア、正式な影響バージョン、個別の修正プログラムや回避策は記載されていません。
過去のDefender脆弱性との関係と悪用状況
RoguePlanetを公開したChaotic Eclipseは、Nightmare-Eclipseの名称でも活動している匿名の研究者です。同じ研究者は、これまでにもMicrosoft Defenderに関連するBlueHammer、UnDefend、RedSunと呼ばれる脆弱性を公表しています。これらには、それぞれCVE-2026-33825、CVE-2026-45498、CVE-2026-41091が割り当てられています。
元記事では、BlueHammer、UnDefend、RedSunの3件について、その後、実際の攻撃で悪用されたと報告されています。ただし、この記述は過去に公開された3件を対象としたものであり、新たに公開されたRoguePlanetがすでに攻撃で悪用されていることを示すものではありません。RoguePlanetについてはPoCが公開された段階であり、元記事には実環境での悪用を確認したとの記載はありません。この違いを区別して評価することが重要です。
研究者とMicrosoftの間では、脆弱性の報告や対応をめぐる意見の対立も報じられています。研究者側はMicrosoft Security Response Centerのアカウントへのアクセスを取り消されたことや、報告への対応などについて不満を表明しています。一方、Microsoftは、脆弱性の一般公開が利用者を不要なリスクへさらすとして、協調的な脆弱性開示を重視する姿勢を示しています。こうした対立の評価とは切り分けて、利用組織は公開された技術的リスクとMicrosoftの公式情報を基に対応を判断する必要があります。
国内組織が当面実施すべき監視と防御
元記事公開時点では、Microsoftによる調査が続いており、RoguePlanetに対する具体的な修正方法は示されていません。そのため、組織のIT担当者は、Microsoft Security Response CenterやMicrosoft Defenderのセキュリティインテリジェンス更新を定期的に確認し、正式なアドバイザリや修正が公開された場合に速やかに対応できる体制を整えておく必要があります。
PoCの成功には端末上での処理が必要になると考えられるため、最初に標準ユーザーの環境へ侵入されないことも重要です。メールの添付ファイルやダウンロードしたプログラムを不用意に実行しないよう周知し、組織で許可していないソフトウェア、スクリプト、ISOイメージなどの利用を制御してください。アプリケーション実行制御や最小権限の運用を導入している場合は、設定が想定どおり機能しているか確認することが望まれます。
監視面では、通常の業務では発生しないSYSTEM権限でのコマンドプロンプト起動や、一般ユーザーの操作直後に発生した不審なプロセス実行を調査対象にできます。ただし、元記事には具体的な侵害指標や確定的な検知ルールは掲載されていません。特定のファイル名やプロセスだけに依存せず、権限の変化、プロセスの親子関係、実行時刻、利用者の操作履歴などを組み合わせて確認することが重要です。修正プログラムが公開されるまでは、予防、監視、公式情報の確認を並行して進める必要があります。
参考文献・記事一覧
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
