2026年4月、Microsoft Defenderに存在する3つの深刻なゼロデイ脆弱性が、サイバーセキュリティの世界に衝撃を与えました。これらの脆弱性は、「BlueHammer」「RedSun」「UnDefend」と名付けられ、セキュリティ研究者「Chaotic Eclipse」(別名Nightmare-Eclipse)によって公に開示されました。この異例の公開は、Microsoftの脆弱性開示プロセスに対する抗議の意を示すものとされています。
これらの脆弱性は、単独でも危険ですが、組み合わせることで極めて強力な攻撃経路を形成します。BlueHammerとRedSunは、ローカル特権昇格(LPE)の欠陥であり、攻撃者が侵害したシステム内でSYSTEMレベルのアクセス権を獲得することを可能にします。一方、UnDefendは、Microsoft Defenderの定義ファイル更新を効果的にブロックし、サービス拒否(DoS)状態を引き起こすことで、エンドポイント保護機能を麻痺させる役割を果たします。
セキュリティ企業Huntressは、これら3つの脆弱性が実環境で活発に悪用されていることを確認し、警告を発しました。特にBlueHammerは2026年4月10日から、RedSunとUnDefendの概念実証(PoC)エクスプロイトは4月16日から悪用が確認されています。これは、攻撃者がこれらの脆弱性を迅速に武器化し、標的システムへの侵入と永続化を図っていることを示唆しています。
この一連のゼロデイ攻撃は、Microsoft Defenderという、本来システムを保護するための主要なセキュリティツールが、逆に攻撃者の手によって悪用されるという皮肉な状況を生み出しています。この事態は、エンドポイントセキュリティの根幹を揺るがすものであり、企業や組織にとって喫緊の課題となっています。
脆弱性「BlueHammer」の緊急パッチとCISAの警告
3つのゼロデイ脆弱性のうち、「BlueHammer」として知られる特権昇格の脆弱性(CVE-2026-33825)は、Microsoftによって迅速に対処されました。この脆弱性は、2026年4月にリリースされた月例のパッチチューズデー更新プログラムの一部として修正が提供されています。しかし、このパッチがリリースされる以前から、BlueHammerは実環境で活発に悪用されていたことが、Huntressの報告によって明らかになっています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性の深刻度を認識し、2026年4月22日にはCVE-2026-33825を「既知の悪用されている脆弱性(KEV)カタログ」に追加しました。これにより、連邦政府の行政機関(FCEB)は、2026年5月6日までにこの修正プログラムを適用することが義務付けられました。これは、BlueHammerの悪用が広範囲に及ぶ可能性と、その潜在的な影響の大きさを物語っています。
CrowdStrikeの4月14日付のパッチチューズデー分析では、CVE-2026-33825について「実環境での悪用を示す証拠はない」と当初報告されていましたが、その後のHuntressの4月17日付の報告では、4月10日からの活発な悪用が確認されています。この時間差は、ゼロデイ脆弱性の悪用状況が極めて急速に変化し、セキュリティベンダー間の情報共有と分析のタイミングによって評価が異なりうることを示しています。
Microsoftの広報担当者は、報告されたセキュリティ問題の調査と、顧客保護のための迅速なデバイス更新へのコミットメントを表明しています。また、同社は、問題が公開される前に慎重に調査され対処されることを保証する、広く採用されている業界慣行である「協調的脆弱性開示」を支持する姿勢を示しています。しかし、今回のケースでは、研究者による公開が先行したことで、パッチ適用前のリスクが顕在化しました。
未解決の脅威:「RedSun」と「UnDefend」の悪用手口
BlueHammerがパッチ適用された一方で、「RedSun」と「UnDefend」という2つのMicrosoft Defenderのゼロデイ脆弱性は、本記事執筆時点では依然として未解決のままです。これらの脆弱性は、攻撃者にとって極めて魅力的なツールであり、特にRedSunは、Windows 10、Windows 11、およびWindows Server 2019以降のシステムでSYSTEM権限を奪取するために悪用される可能性があります。これは、4月のパッチチューズデーの更新を適用した後でも有効であると報告されています。
RedSunのエクスプロイトは、Microsoft Defenderが特定の悪意あるファイルに「クラウドタグ」を認識した際に、そのファイルを元の場所に書き戻すという、Defenderの意図しない挙動を悪用します。研究者は、この挙動を利用してシステムファイルを上書きし、管理者権限を獲得する手法を詳述しています。これは、信頼されたセキュリティソフトウェアが、その信頼性ゆえに攻撃経路として利用されるという、セキュリティの根幹を揺るがす問題です。
さらに、UnDefendは、標準ユーザー権限でMicrosoft Defenderの定義ファイル更新をブロックできるという、極めて危険な機能を持っています。攻撃者がBlueHammerまたはRedSunでSYSTEM権限を獲得した後、UnDefendを展開することで、エンドポイント保護レイヤーが後続の活動を検出する能力を徐々に低下させることが可能になります。セキュリティ企業Vectraは、これを「多層的な劣化戦略(layered degradation strategy)」と表現しており、単一のエクスプロイトではなく、複数の脆弱性を組み合わせることで防御を段階的に無力化する高度な手法であると指摘しています。
Huntressは、BlueHammerが4月10日から、RedSunとUnDefendのPoCエクスプロイトが4月16日から実環境で悪用されていることを確認しており、攻撃者がこれらの未解決の脆弱性を積極的に利用している現状を浮き彫りにしています。これらの脆弱性が未パッチのままであることは、多くの組織にとって継続的なリスクを意味し、迅速な対応が求められています。
攻撃者の戦術:ハンズオンキーボード活動の痕跡
Huntressのセキュリティ研究者たちは、これらのゼロデイ脆弱性が悪用された攻撃において、「ハンズオンキーボード(hands-on-keyboard)」による脅威アクターの活動を示す明確な痕跡を観測しました。これは、自動化されたマルウェアによる攻撃とは異なり、人間が直接システムにアクセスし、コマンドを実行しながら標的環境を探索・操作していることを意味します。このような活動は、攻撃がより標的型であり、適応性が高いことを示唆しています。
観測された活動には、「whoami /priv」「cmdkey /list」「net group」といった典型的な列挙コマンドの実行が含まれていました。これらのコマンドは、攻撃者がシステム内の特権レベル、保存された認証情報、ネットワークグループの構成などを把握しようとする際に用いられます。これにより、攻撃者は横方向の移動やさらなる特権昇格のための情報を収集し、攻撃の次の段階へと進む準備を進めます。
RedSunとUnDefendのエクスプロイトが確認されたWindowsデバイスでは、侵害されたSSLVPNユーザーを介して初期アクセスが確立された形跡も報告されています。これは、外部に公開されたサービスや認証情報の窃取が、これらの高度なゼロデイ攻撃の足がかりとなる可能性があることを示しています。初期侵入後の「ハンズオンキーボード」活動は、攻撃者が環境を深く理解し、防御を回避しながら目的を達成しようとする意図を強く示しています。
Vectraが指摘するように、BlueHammerやRedSunでSYSTEM権限を獲得し、その後UnDefendでエンドポイント保護を無力化するという組み合わせは、運用上極めて重要です。この多層的な戦略は、攻撃者が単にシステムに侵入するだけでなく、その後の活動を隠蔽し、永続的なアクセスを維持するための洗練された手法を採用していることを示しています。このような攻撃は、従来のシグネチャベースの検出では見逃されやすく、より高度な脅威ハンティングとインシデント対応能力が求められます。
Microsoftの対応と脆弱性開示プロセスの課題
Microsoftは、今回のゼロデイ脆弱性に関する報道に対し、顧客保護のために報告されたセキュリティ問題を調査し、影響を受けるデバイスを可能な限り迅速に更新するというコミットメントを改めて表明しました。また、同社は、問題が公に開示される前に慎重に調査され、対処されることを保証する「協調的脆弱性開示」という業界の慣行を支持する立場を強調しています。これは、セキュリティ研究コミュニティとの協力関係を重視する姿勢を示すものです。
しかし、今回のケースでは、研究者「Chaotic Eclipse」がMicrosoftの脆弱性開示プロセスへの不満から、BlueHammer、RedSun、UnDefendの3つのゼロデイ脆弱性を公に開示しました。この行動は、ベンダーと研究者間の開示ポリシー、特にパッチ提供までのタイムラインやコミュニケーションに関して、依然として課題が存在することを示唆しています。研究者側は、迅速なパッチ提供や適切な対応がない場合、公共の利益のために情報を公開する必要があると感じることがあります。
このような「ゼロデイ公開」は、パッチが利用可能になる前に攻撃者が脆弱性を悪用するリスクを高める一方で、ベンダーに迅速な対応を促す効果もあります。BlueHammer(CVE-2026-33825)がパッチチューズデーで修正されたことは、ある程度の迅速な対応を示していますが、RedSunとUnDefendが依然として未解決であることは、この問題の複雑さを浮き彫りにしています。
セキュリティ業界では、協調的開示が最善の慣行とされていますが、その実施にはベンダーと研究者の間の信頼と透明性が不可欠です。今回の事例は、そのバランスが崩れた際に、どのような結果が生じうるかを示す重要な教訓となります。未解決のゼロデイが存在する状況下では、組織はパッチ適用だけでなく、多層的な防御戦略と脅威インテリジェンスの活用を強化する必要があります。
4月のパッチチューズデー:広範な脆弱性とその影響
2026年4月のパッチチューズデーは、Microsoft製品に影響を与える164件もの脆弱性に対処するという、大規模なセキュリティ更新となりました。これは、前月の2026年3月に修正された脆弱性の数の2倍に相当し、サイバー脅威の増大と、それに伴うベンダー側の対応の緊急性を示しています。このうち、1件のゼロデイ脆弱性(Microsoft SharePoint Serverのなりすまし脆弱性CVE-2026-32201)は実環境で悪用が確認されており、もう1件のゼロデイ脆弱性(Microsoft Defenderの特権昇格脆弱性CVE-2026-33825、BlueHammer)は公に開示されていました。
今月のリスク分析では、特権昇格(EoP)が93件のパッチ(全体の57%)を占め、最も主要な悪用手法であることが示されました。これにリモートコード実行(RCE)と情報漏洩がそれぞれ20件(12%)で続きます。これらの統計は、攻撃者がシステムへのアクセス権を拡大し、機密情報を窃取しようとする傾向が依然として強いことを浮き彫りにしています。
製品ファミリー別では、Microsoft Windowsが圧倒的に多くのパッチ(131件、80%)を受け、次いでMicrosoft Officeが14件、開発者ツールが8件でした。これは、Windowsオペレーティングシステムが依然として最も広範な攻撃対象であり、そのセキュリティが全体のサイバーセキュリティ態勢に与える影響が大きいことを示しています。特に、Windows TCP/IP、Windows Internet Key Exchange (IKE) Service Extensions、Remote Desktop Client、Microsoft Office/Word、Windows Active Directory、.NET Frameworkといった広範なコンポーネントに、CVSSスコア8.0を超えるクリティカルなRCEやDoS脆弱性が含まれていました。
これらの広範な脆弱性への対処は、組織にとって継続的な課題です。CrowdStrikeは、Log4jやProxyNotShellのような注目すべき脆弱性から学んだように、すべての高度に悪用可能な脆弱性が容易にパッチ適用できるわけではないと指摘しています。パッチ適用戦略の定期的な見直しに加え、パッチが存在しない場合の防御計画の策定や、組織全体のセキュリティ態勢をより包括的に改善することが極めて重要であると強調されています。
脅威の複合化と防御の最前線
今回のMicrosoft Defenderのゼロデイ脆弱性群の事例は、現代のサイバー攻撃が単一の脆弱性を狙うだけでなく、複数の欠陥を組み合わせて防御を突破し、より深い侵害を達成しようとする傾向を明確に示しています。Vectraが指摘した「多層的な劣化戦略」は、攻撃者が特権昇格と防御機能の無効化を段階的に実行することで、検出を回避し、永続的なアクセスを確立する洗練された手法を物語っています。
このような複合的な攻撃は、組織のセキュリティチームにとって新たな課題を突きつけます。単一のエンドポイント保護ソリューションやパッチ管理だけでは、多段階にわたる攻撃チェーン全体を阻止することは困難です。初期侵入から特権昇格、横方向の移動、そして防御機能の無効化に至るまで、攻撃の各段階で検出と阻止を行うための多層的な防御戦略が不可欠となります。
特に、RedSunやUnDefendのように、パッチが未提供のゼロデイ脆弱性が実環境で悪用されている状況では、組織は迅速な脅威インテリジェンスの活用と、エンドポイント検出・対応(EDR)や拡張検出・対応(XDR)ソリューションによる継続的な監視が求められます。また、CISAがBlueHammerに対して行ったような緊急の警告は、連邦機関だけでなく、すべての組織が迅速にパッチを適用し、リスクを軽減することの重要性を示唆しています。
AIの進化がエクスプロイトの生成と実行を加速させているという指摘もあり、脅威の状況はますます複雑化しています。このような環境下で、組織は脆弱性管理、インシデント対応計画、そして従業員のセキュリティ意識向上訓練を継続的に強化し、常に防御の最前線で警戒を怠らないことが、サイバーレジリエンスを維持するための鍵となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched - https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html
- -April 2026 Patch Tuesday: Updates and Analysis - https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-april-2026/
- -Recently leaked Windows zero-days now exploited in attacks - https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks/