Microsoftは、1週間前に公開された「RoguePlanet」と名付けられたDefenderのゼロデイ脆弱性に対するセキュリティパッチを現在開発中であることを認めました。
2026年6月のPatch Tuesday(Nightmare Eclipseとして知られる研究者)にRoguePlanetのエクスプロイトを公開したセキュリティ研究者によると、この脆弱性は完全にパッチ適用済みのWindows 10およびWindows 11デバイスに影響し、Microsoft Defenderの競合状態(レースコンディション)を通じて、攻撃者がSYSTEM権限のコマンドプロンプトを起動できるとのことです。
同研究者は、自己ホスト型Gitリポジトリに概念実証(PoC)エクスプロイトを公開しました。MicrosoftがGitHubおよびGitLab上にあった同研究者のエクスプロイトホスティングリポジトリを意図的に削除してきたと主張しています。
「このエクスプロイトは競合状態を利用するため、成功するかどうかはケースバイケースです。一部のマシンでは成功率100%を達成できましたが、別のマシンではうまく動作しないこともあります」とNightmare Eclipseは述べました。また、火曜日に公開した続報の中で「RoguePlanetのPoCは、リアルタイム保護が有効かどうかに関わらず動作します」と付け加えました。
「Microsoftは報告された脆弱性を認識しており、その妥当性と潜在的な影響範囲を積極的に調査しています。Microsoftはセキュリティ上の問題を調査し、できる限り早急に影響を受ける製品を更新して顧客を保護することに尽力しています」と、Microsoftの広報担当者は当時BleepingComputerのコメント取材に答えました。
CVE-2026-50656として追跡開始、パッチ公開を待つ状況に
RoguePlanet脆弱性の公開から1週間後の火曜日、MicrosoftはこのセキュリティバグにCVE-2026-50656のIDを割り当て、現在パッチを開発中であることを確認しました。ただし、この脆弱性の発見者がNightmare Eclipseであることは認めませんでした。
「Microsoftは、Microsoft DefenderのMicrosoft Malware Protection Engineにおける権限昇格の脆弱性(公に『RoguePlanet』と呼ばれているもの)を認識しています」と、昨日公開したアドバイザリの中で述べました。「この脆弱性に対処する高品質なセキュリティアップデートの提供に向けて取り組んでいます。アップデートが利用可能になり次第、このCVEに情報を掲載する予定です。」
RoguePlanetの公開は、MicrosoftのバグバウンティプログラムおよびCVD(協調的脆弱性開示)の慣行をめぐる、Nightmare EclipseとMicrosoftの間の継続的な対立の一環です。
この数か月間、同研究者はBlueHammer、RedSun、GreenPlasma、MiniPlasma、YellowKey、UnDefendなど、複数のWindowsゼロデイエクスプロイトを公開してきました。これらのゼロデイの一部はMicrosoft Defenderに影響し、その他はBitLockerやWindowsのコンポーネントを標的としています。
Microsoftは、Nightmare Eclipseの公開に対し、「顧客に実害をもたらす悪意ある行為」を行った場合には法的措置を取ると警告することで応じ、法的措置の警告を発しました。このことから、多くのサイバーセキュリティの専門家や研究者は、Microsoftが同研究者を脅していると受け取りました。
Microsoftは先週、2026年6月のPatch Tuesdayアップデートの一環として、GreenPlasma、MiniPlasma、YellowKeyの脆弱性を修正しました。
攻撃者より先に、すべての層をテストする
セキュリティチームが記録できている攻撃の成功は54%に過ぎず、アラートが上がるのはわずか14%です。残りは気づかれないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
