セキュリティ
エクスプロイトコードの公開から数週間、ようやくRedmondがDefenderのゼロデイ脆弱性への修正を配布
Microsoftはこのほど、Microsoft Defenderに存在した「RoguePlanet」ゼロデイ脆弱性をひっそりと修正しました。セキュリティ研究者Nightmare Eclipseが同社の脆弱性報告への対応をめぐって公然と非難を繰り返してきた末に発覚した、一連の問題における最新の穴を塞いだ形です。
CVE-2026-50656として追跡されているこの脆弱性は、月例のPatch Tuesdayによる修正パッケージではなく、Microsoft Malware Protection Engineのアップデートを通じて対処されました。Microsoftによれば、この修正を受けるにはユーザーが最新版のエンジンを実行している必要があるとのことです。
この欠陥は6月に初めて表面化しました。Nightmare Eclipseが技術的な詳細と概念実証(PoC)エクスプロイトコードを公開し、RoguePlanetは完全にパッチが適用されたWindows 10およびWindows 11のシステムに対しても有効だと主張したことがきっかけでした。この研究者によると、このバグはMicrosoft Defenderに存在する競合状態(レースコンディション)を悪用してSYSTEM権限でコマンドプロンプトを起動させるもので、タイミングさえ合えば攻撃者はローカルマシンを完全に制御できるようになるといいます。
「このエクスプロイトは競合状態を突くものなので、成功するかどうかは運次第です」とNightmare Eclipseは当時こう記していました。「あるマシンでは100パーセントの成功率を達成できた一方、別のマシンではうまくいかないこともありました」
この研究者はまた、Defenderのリアルタイム保護が有効かどうかに関わらず、このエクスプロイトは機能すると主張していました。
The Registerが6月に初めてRoguePlanetを取り上げた際、Microsoftは調査中であるとしか説明していませんでした。その調査はようやく修正という形で幕を閉じましたが、Redmondは内部で何が変更されたのか、あるいはこのバグが概念実証としてのデモ以外の場面で悪用されていたのかについては、公には明らかにしていません。
RoguePlanetは、Nightmare Eclipseが4月以降に公表したWindowsのゼロデイ脆弱性としては7件目となりました。これはMicrosoftの脆弱性開示制度およびバグ報奨金プログラムに対する、同研究者による次第に激しさを増す抗議活動の一環です。かつてMicrosoftの社員だったと自称するこの研究者は、同社が報告を無視したこと、報告に使われたアカウントを削除したこと、そして独立系研究者を軽視する姿勢をとってきたことを繰り返し非難してきました。
Microsoftが当初、エクスプロイトコードの公開は法的措置につながりかねないと警告した際には、セキュリティ研究者たちが強く反発しました。その結果同社は釈明を発表し、正当なセキュリティ研究を行ったり公表したりする人物を訴追する意図はないと表明するに至りました。
一方でNightmare Eclipseは、MicrosoftがRoguePlanetの概念実証を公開していたGitHubおよびGitLabのリポジトリを削除させたと主張しており、その後このエクスプロイトは自前でホストするリポジトリへと移されました。
CVE-2026-50656への対応が完了したことで、Microsoftは今年これまでにNightmare Eclipseが公表した公開ゼロデイ脆弱性をすべて解消したことになります。もっとも、これによってRedmondと、同社にとって最も多作なバグハンターの一人との間に横たわる、次第に険悪化していた確執に区切りがつくのかどうかは、また別の話です。®