Microsoft Defender のゼロデイ 脆弱性 3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825)

セキュリティ企業Huntress Labsは2026年4月16日、Microsoft Defenderを標的とした3件のゼロデイ脆弱性（BlueHammer・RedSun・UnDefend）が実際の攻撃で使用されていることを確認したと公表しました。いずれも「Chaotic Eclipse」（別名：Nightmare-Eclipse）を名乗る匿名の研究者が、MicrosoftのSecurity Response Center（MSRC）の対応への抗議としてPoCコードをGitHub上に公開したものです。

BlueHammerは2026年4月14日のPatch Tuesdayで修正（CVE-2026-33825）されましたが、RedSunとUnDefendは2026年4月20日時点でパッチが存在せず、4月の累積更新プログラムを適用済みのフルパッチ環境でも有効であることが複数の研究機関によって確認されています。

また、セキュリティリサーチ企業Nextron ResearchがRedSunの技術解析を独自に実施し、攻撃チェーンの各段階を対象としたSigmaルール（6件）およびYARAルールを無償公開しており、SOCチームによる即時実装が可能な状態です。

なお、2026年4月22日、CISAがCVE-2026-33825（BlueHammer）をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。連邦民間行政機関（FCEB）の対応期限は2026年5月6日です。 RedSun・UnDefendはKEV未掲載ですが実攻撃が継続しており、CISAはすべての組織に優先的な対応を呼びかけています。

何が起きたか：3件のゼロデイが公開から6日以内に実攻撃へ

「Chaotic Eclipse」を名乗る研究者は、MSRCへの開示プロセスで不当な扱いを受けたと主張し、2026年4月初旬から段階的にPoCを公開しました。

【タイムライン表】

日付	出来事
4月3日	BlueHammer PoC公開（GitHub）
4月7日	CVE-2026-33825としてMicrosoftが正式追跡開始（CVSS 7.8）
4月10日	Huntress SOCがBlueHammerの実攻撃悪用を初確認
4月14日	MicrosoftがPatch TuesdayでBlueHammerを修正
4月16日	研究者がRedSun・UnDefend PoCを追加公開。同日、Huntress SOCが実攻撃での悪用を確認
4月22日	CISAがCVE-2026-33825（BlueHammer）をKEVカタログに追加
5月6日	FCEB機関へのパッチ適用期限（BOD 22-01）

公開から実攻撃確認まで、BlueHammerは7日、RedSunとUnDefendは公開当日でした。脅威アクターがPoCを即時武器化するスピードが改めて示された事例です。

CISA KEVカタログへの追加—民間組織も対応を優先すべき理由

2026年4月22日、CISAはCVE-2026-33825（BlueHammer）を既知の悪用脆弱性（KEV）カタログに追加しました。

CISAはKEV追加にあたり次のように警告しています。「この種の脆弱性は悪意ある攻撃者にとって頻繁な攻撃ベクターであり、連邦企業に対して重大なリスクをもたらす。ベンダーの指示に従って緩和策を適用すること。クラウドサービスの場合はBOD 22-01のガイダンスに従い、緩和策が利用できない場合は製品の使用を中止すること。」

Binding Operational Directive（BOD）22-01の適用対象は連邦民間行政機関（FCEB）であり、期限は2026年5月6日です。法的強制力は民間組織には及びませんが、CISAはすべての組織にKEV掲載脆弱性の優先修正を強く促しています。KEVへの掲載は「実際の悪用が確認済みである」ことを意味するため、民間企業もこの期限を目安に対応することが推奨されます。

脆弱性の概要：BlueHammer・RedSun・UnDefendの違い

BlueHammer（CVE-2026-33825）

Windows Update Agent COMインターフェースを起点に、VSSスナップショットのマウント上でoplockを使用してDefenderのSYSTEMスレッドを停止します。その間にNTFSジャンクションポイントで書き込み先をC:\Windows\System32へリダイレクトし、SYSTEMレベルでの任意コード実行を実現します。Defenderプラットフォーム更新4.18.26030.3011以降で修正済みです。

RedSun（未CVE）

DefenderのクラウドファイルロールバックメカニズムのLogic Flawを悪用します。Windows Cloud Files APIでクラウドプレースホルダに置き換えたファイルをDefenderが検知すると、パスの検証なしに元の場所へ書き戻す動作が発生します。攻撃者はoplockとNTFSジャンクションを組み合わせ、Defenderの書き込み先をC:\Windows\System32\TieringEngineService.exeへリダイレクトすることで、管理者権限もユーザー操作も不要でSYSTEM実行を達成します。

UnDefend（未CVE）

標準ユーザー権限でDefenderの定義ファイル更新パイプラインをブロックするDoSです。パッシブモードでは署名更新を完全遮断しながら、管理コンソール上は「保護済み」と表示し続けます。アグレッシブモードではMicrosoftがメジャーアップデートを配信したタイミングでDefenderを完全停止させます。

Nextron Researchによる独立技術解析：RedSunの「意図しない書き戻し」

Nextron Research（THOR ScannerおよびAurora EDRの開発元）は、RedSunについて独自の技術解析を実施・公表しています。同社の分析は、RedSunが従来型の脆弱性（メモリ破壊・ロジックバグ）とは異なる性質を持つ点を強調しています。

Defenderがファイルを悪意あるものとしてフラグを立て、かつクラウド判定が付いている場合、削除する代わりにそのファイルを元の場所へ書き戻すという動作が発生します。このファイルを制御し、適切な挙動をトリガーできれば、Defenderの昇格された権限を使って任意のデータを書き込ませることができます。

Nextron Researchの見解では、これはDefenderの「バグ」というよりも**設計上の想定外動作（unexpected behavior）**であり、修正には動作ロジックそのものの見直しが必要と示唆しています。RedSunが4月の全パッチ適用後も有効である技術的根拠を、Huntressの観測事実とは独立した立場から裏付けた形です。

同社はこの解析と並行して検知ルールの開発も実施しており、後述するSigma・YARAルールとして無償公開しています。

Huntress SOCが確認した攻撃の詳細—FortiGate SSL VPN経由・ロシアIPを起点とする標的型侵害

Huntress Labsのインシデント調査報告によれば、3件の悪用は孤立したPoC testing（概念実証テスト）ではなく実際の標的型侵害の一環として確認されました。

初期侵入経路として、2026年4月15日 13:44 UTC、攻撃者はロシアのIPアドレス（78.29.48[.]29）から被害者のFortiGate ファイアウォールへ正規のSSL VPN認証情報を使って接続しました。その後シンガポール（212.232.23[.]69）・スイス（179.43.140[.]214）からの不正セッションも確認されており、認証情報の転売・共有を示す複数地理アクセスパターンと一致しています。

攻撃者の行動パターン（hands-on-keyboard）

侵入後、攻撃者はwhoami /priv、cmdkey /list、net groupなどの偵察コマンドを手動で実行しました。これらは典型的な「ハンズオンキーボード」操作であり、自動マルウェアではなく実際の攻撃者が手動でシステムを探索していることを示します。

ファイルの設置と実行

BlueHammer・RedSun・UnDefendの各バイナリはユーザーのPicturesフォルダーやDownloads下の短い名前のサブフォルダーにステージングされました。FunnyApp.exeとしてBlueHammerが設置され、4月10日にDefenderによって検知・隔離（シグネチャ名：Exploit:Win32/DfndrPEBluHmr.BZ）されています。

BeigeBurrow（C2トンネリングバイナリ）

Go言語でコンパイルされたトンネリングバイナリagent.exe（実行フラグ：-server staybud.dpdns[.]org:443 -hide）も確認されました。Huntress SOCは公開YARAルールを用いてBeigeBurrowを検出しています。

なお3件の権限昇格はいずれも成功しませんでした。Huntress SOCが組織をネットワークから隔離して攻撃を阻止したためです。

影響を受けるバージョンとパッチ適用状況

RedSun・UnDefendはWindows Defenderが有効なすべての環境に影響します。Windows DefenderはWindowsのデフォルト設定で有効であるため、特別な構成変更をしていない大多数の環境が対象になります。

RedSunは4月Patch Tuesday適用済みのフルパッチ環境でも約100%の確率で動作することが独立した複数の研究者によって確認されています。

なぜ危険か：3件を連鎖させた攻撃シナリオ

3件の脆弱性は個別使用だけでなく、チェーン攻撃として組み合わせることができます。

1. 初期侵入：SSLVPNアカウントの侵害やフィッシングでユーザーレベルのフットホールドを確保
2. 防御の無効化（UnDefend）：署名更新を遮断してDefenderを実質的に盲目化。管理コンソール上は正常と表示されるためSOCが気づきにくい
3. SYSTEM権限奪取（RedSun）：BlueHammerがパッチ済みの環境でも、RedSunでSYSTEM権限を取得
4. 永続化・横展開：SYSTEM権限でのPass-the-Hash・資格情報ダンプを経てドメイン全体の侵害へ拡大

UnDefendによるDefender無効化は後続のランサムウェア展開に向けた「検知回避の下準備」として機能しており、単なるDoSを超えた脅威として扱う必要があります。

SOC・セキュリティ担当者が今すぐ取るべき対応

4月Patch Tuesdayの即時適用

BlueHammer（CVE-2026-33825）を修正します。Defender Antimalware Platform 4.18.26030.3011 以降が修正バージョンの目安です。RedSun・UnDefendのパッチは現時点で未提供のため、Microsoftからのアウトオブバンド更新を随時確認してください。

SSLVPNの認証強化

今回の実攻撃はSSLVPNアカウント侵害を起点としています。VPN認証にMFAが未設定の場合は直ちに設定し、不審なSSLVPNログインのアラートルールを見直してください。

TieringEngineService.exeのハッシュベースライン取得

RedSunが書き込みターゲットとするファイルです。現時点でクリーンな状態のSHA-256ハッシュを全端末でベースライン記録し、変更を即時アラートするルールを設定してください。これが最も確実なRedSun検知の手がかりになります。

Defenderの署名更新状態の直接確認

UnDefendは署名更新を遮断しながらコンソール上は正常と表示します。Microsoft Endpoint Manager等で各端末の最終署名更新日時を直接確認し、24〜48時間以上更新されていない端末を優先調査してください。

多層防御の補完

RedSun・UnDefendはパッチなしの状態が続いています。Windows Defender単体に依存している環境では、別ベンダーのEDRやサードパーティアンチウイルスによる補完を検討してください。

検知ルール：SigmaおよびYARA（無償）

Nextron Researchは今回の事案に対してRedSunの攻撃チェーンを対象とした検知ルールを独自に開発し、無償で公開しています。

Sigma ルール（6件）

RedSunの実行段階ごとにカバーした計6件のSigmaルールが提供されています。Splunk・Elastic・Microsoft Sentinelなど主要SIEMへの変換に対応しています。

▶ Sigma PR #5941（作者：@swachchhanda）
https://github.com/SigmaHQ/sigma/pull/5941

YARA ルール

RedSun PoCバイナリを対象としたYARAルールが提供されています。マルウェアスキャナーや静的解析ツールに組み込むことができます。

▶ signature-base PR #400（作者：@cod3nym）
https://github.com/Neo23x0/signature-base/pull/400

THOR Lite（無償版）での利用

上記ルールはいずれもTHOR LiteおよびTHOR Lite Cloudスキャナー（Nextron Research提供・無償）に収録予定です。専用SIEMやEDRを持たない組織でも即日適用が可能な選択肢です。

IOC（侵害指標）一覧

種別	値	説明
IPアドレス	78.29.48[.]29	初期SSL VPN接続元（ロシア）
IPアドレス	212.232.23[.]69	後続不正セッション（シンガポール）
IPアドレス	179.43.140[.]214	後続不正セッション（スイス）
ドメイン	staybud.dpdns[.]org	BeigeBurrow C2サーバー
ファイル名	FunnyApp.exe	BlueHammer PoCバイナリ（Picturesフォルダー）
ファイル名	RedSun.exe	RedSun PoCバイナリ
ファイル名	undef.exe	UnDefend PoCバイナリ
ファイル名	z.exe	暗号化EICARを含むリネームされた亜種
ファイル名	agent.exe	BeigeBurrow C2トンネリングバイナリ
実行パターン	agent.exe -server staybud.dpdns[.]org:443 -hide	BeigeBurrow実行フラグ
Defender検知名	Exploit:Win32/DfndrPEBluHmr.BZ	BlueHammerに対するDefenderの検知シグネチャ

---

よくある質問（FAQ）

Q. 4月のWindows Updateを適用すれば3件すべて修正されますか？
いいえ。4月Patch Tuesdayで修正されるのはBlueHammer（CVE-2026-33825）のみです。RedSunとUnDefendは2026年4月20日時点でパッチが提供されておらず、フルパッチ適用済みの環境でも攻撃が成立することが確認されています。

Q. RedSunはWindows Defenderを無効化すれば防げますか？
Defenderを無効化するとRedSunのトリガー条件（クラウド判定ファイルの書き戻し）が発生しなくなるため、攻撃そのものは成立しなくなります。ただしDefenderを無効化すること自体がリスクを高めるため、代替のEDRやアンチウイルスを導入した上での判断が必要です。

Q. UnDefendはEDRや管理コンソールで検知できますか？
UnDefendのパッシブモードは、Defenderが「保護済み」と報告し続けながら署名更新のみを遮断するため、管理コンソール上では異常が表示されない点が特に問題です。検知には、管理ツールで各端末の最終署名更新日時を直接確認するか、Sigmaルール等の行動ベース検知を実装する必要があります。

Q. 今回の攻撃はどのような組織が標的になっていますか？
Huntressが確認した事例では、SSLVPNアカウントを侵害された組織が標的となっていました。特定の業種・規模への絞り込みは現時点で公表されていませんが、Windows Defenderを搭載するすべてのWindows環境が潜在的な対象となります。

Q. Sigma・YARAルールはどこで入手できますか？
Nextron Researchが無償で公開しています。SigmaルールはSigmaHQ（PR #5941）、YARAルールはsignature-base（PR #400）から取得可能です。またTHOR Lite・THOR Lite Cloud（無償版）にも収録予定で、SIEMやEDRを持たない環境でも利用できます。

---

参考情報

• 【一次ソース】Recently leaked Windows zero-days now exploited in attacks（BleepingComputer）
• 【研究機関】Three Microsoft Defender Zero-Days Actively Exploited（The Hacker News）
• 【技術解析】BlueHammer & RedSun: CVE-2026-33825 Explained（Picus Security）
• 【技術解析】BlueHammer, RedSun, and UnDefend（SOCRadar）
• 【X投稿】Nextron Research @nextronresearch（RedSun技術解析・検知ルール公開）
• 【検知ルール】Sigma PR #5941 by @swachchhanda（SigmaHQ）
• 【検知ルール】YARA PR #400 by @cod3nym（Neo23x0/signature-base）
• 【Microsoft】April 2026 Patch Tuesday（CVE-2026-33825含む）
• 【Huntress SOC】@HuntressLabs X投稿（2026年4月16日）