Microsoft Defenderの特権昇格脆弱性「RoguePlanet」公開
MicrosoftがDefenderの脆弱性CVE-2026-50656を認めた。競合状態を悪用し攻撃者がSystem権限を取得可能。CVSS 7.8、PoC公開済み。パッチは未提供。
Microsoftは現地時間6月17日、Windows標準搭載のセキュリティソフトウェア「Microsoft Defender」におけるゼロデイ脆弱性を認めるアドバイザリを公開した。SecurityWeekが伝えている。
脆弱性「RoguePlanet」は、追跡番号CVE-2026-50656として登録され、CVSSスコアは7.8(重要)と評価されている。セキュリティ研究者のNightmare Eclipse(別名Chaotic Eclipse)が先週、問題を公表した。
同氏が説明したところによれば、RoguePlanetはMicrosoft Defenderにおける競合状態(race condition)を標的としており、攻撃者がSystem権限を取得することを可能にする。研究者は概念実証(PoC)となるエクスプロイトコードを公開しており、2026年6月の月例パッチが適用されたWindows 11およびWindows 10のシステム上で、ローカル特権昇格(LPE)が動作することを実証している。
Microsoftはアドバイザリの中で「本脆弱性に対処する高品質なセキュリティ更新プログラムを提供するために作業を進めている。更新プログラムの提供が可能になった時点で、本CVEに情報を掲載する」と述べている。現時点では修正パッチの提供時期は明らかにされていない。
脆弱性の詳細
RoguePlanetが悪用する競合状態は、Defenderがファイルのスキャン処理を行う際のタイミングのずれを利用するものである。通常、Defenderはマルウェア検出のためにリアルタイムでファイルを監視し、特定の操作に対して特権的な処理を実行する。この一連の処理の中で、リソースへのアクセス権限が一時的に切り替わる瞬間が生じる。攻撃者はこの隙を突いて権限を昇格させる。
特筆すべき点は、Nightmare Eclipseが6月17日に指摘した通り、PoCエクスプロイトがDefenderのリアルタイム保護が有効か無効かに関わらず動作することである。同氏はさらに、パッシブモード(Defenderが検出のみを行い、アクションを起こさないモード)でも動作する可能性があると述べている。これは、Defenderの機能を停止させても防御策として不十分であることを示唆している。
CVSSスコア7.8は「重要(Important)」に相当し、攻撃にはローカルアクセスが必要であることから、リモートからの攻撃には利用できない。しかし、ひとたび攻撃者がシステム上の一般ユーザー権限を獲得した場合、本脆弱性を利用して管理者権限を取得し、システム全体を掌握する可能性がある。
影響を受けるシステム
本脆弱性は、2026年6月の月例更新プログラムが適用されたWindows 11およびWindows 10のシステムに影響を与える。Windows 11は最新のメジャーアップデートであるバージョン24H2を含むすべてのエディション、Windows 10はバージョン22H2が対象となる。Windows Server系のOSに関する影響は現時点では確認されていない。
DefenderはWindowsに標準搭載されているセキュリティソリューションである。エンタープライズ環境では、サードパーティのアンチウイルス製品と併用する形でDefenderをパッシブモードで動作させているケースもある。上述の通り、パッシブモードでも影響を受ける可能性がある点は、多くの組織にとって無視できない要素である。
PoC公開の意義
Nightmare Eclipseは脆弱性を詳細に文書化した上でPoCコードを公開した。この行為は、セキュリティ研究コミュニティにおいて常に議論を呼ぶ。一方で、PoC公開によって脆弱性の存在が広く認知され、Microsoftが迅速に修正に着手するきっかけとなる。同氏の行動は責任ある開示の枠組みの中で行われたと評価できる。
ただし、PoCが公開されたことで、悪意のある攻撃者がこの脆弱性を実際の攻撃に利用するリスクも高まる。Microsoftが修正パッチを提供するまでの間、ユーザーは潜在的な攻撃にさらされることになる。
編集部の見解
短期的には、本脆弱性の影響は限定される可能性がある。攻撃にはローカルアクセスが必要であり、リモートから単独で悪用することはできない。しかし、攻撃者が他の手段で一般ユーザー権限を取得した後の「権限昇格の連鎖」に利用されるリスクは無視できない。企業のセキュリティチームは、Defenderの動作モードに関わらず影響を受ける可能性を認識し、Microsoftのパッチ公開を注視すべきである。 長期的に見れば、本件はセキュリティ製品自体が脆弱性を抱えるというパラドックスを改めて浮き彫りにしている。DefenderはOSの中核に深く統合されているため、その欠陥は広範囲に影響を及ぼす。セキュリティソフトウェアの開発プロセスにおける競合状態の検出と防止の難しさが問われていると言える。また、研究者が責任ある開示を行った後にPoCコードを公開するという慣行の是非についても、業界内で議論が続く可能性がある。 編集部としては、Microsoftのパッチ提供の速度と品質、そして今後の競合状態に対する防御策の強化に注目している。
参考
- Microsoft Working To Patch ‘RoguePlanet’ Zero-Day — 2026-06-17公開
- SecurityWeekの関連報道(Slashdot経由)
よくある質問
- RoguePlanet脆弱性はどのようにして悪用されるのか
- RoguePlanetはMicrosoft Defenderの競合状態を悪用する。Defenderがファイルスキャン時に一時的に特権を切り替える瞬間に、攻撃者が介入して権限を昇格させる。ローカルアクセスが必要で、攻撃者が既に一般ユーザー権限を持っていることが前提となる。
- 影響を受けるWindowsのバージョンは
- 2026年6月の月例パッチが適用されたWindows 11およびWindows 10のシステムが影響を受ける。Windows 11は全てのエディション、Windows 10はバージョン22H2が対象。Windows Server系については現時点で確認されていない。
- ユーザーはどのように対策すべきか
- Microsoftが修正パッチを提供するまでは、根本的な対策はない。Defenderのリアルタイム保護を無効にしても効果がないため、他のセキュリティ対策(最小権限の原則の徹底、不要なアカウントの削除、ネットワークセグメンテーションなど)を強化することが推奨される。
コメント