Microsoft Defenderのゼロデイ脆弱性 RoguePlanetにCVE-2026-50656が付与|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月19日更新日時: 2026年06月19日

Microsoftは2026年6月16日（火）、1週間前に公開されたMicrosoft Defenderのゼロデイ脆弱性「RoguePlanet」に対するセキュリティパッチの開発に取り組んでいることを確認しました。

この脆弱性は新たにCVE-2026-50656（CVSSスコア7.8）として追跡されています。RoguePlanetは2026年6月のPatch Tuesdayのわずか数時間後に公開され、完全にパッチ済みのWindows 10・Windows 11デバイスにおいても、Microsoft Defenderのレースコンディション（競合状態）を悪用してSYSTEM権限のコマンドプロンプトを生成できるという深刻な内容です。

このエクスプロイトを公開したのは、Microsoftと長期にわたる対立関係にある研究者「Nightmare Eclipse」（別名：Chaotic Eclipse）で、GitHubおよびGitLabにホストしていた過去のリポジトリがMicrosoftによって繰り返し削除されたとして、現在はセルフホスト型のGitプラットフォーム（git.projectnightcrawler.dev）を通じてPoC（実証コード）を公開し続けています。Microsoftの公式アドバイザリによれば、現時点でこの脆弱性の野生での悪用は確認されていませんが、パッチの提供時期は明示されていません。本記事ではRoguePlanetの技術的な仕組み・Nightmare Eclipseとの対立の経緯・対応手順を解説します。

サマリー

CVE番号：CVE-2026-50656（2026年6月16日付与）
CVSSスコア：7.8
公開日：2026年6月9〜10日（Microsoftの2026年6月Patch Tuesdayの数時間後）
発見・公開者：「Nightmare Eclipse」（別名Chaotic Eclipse、GitHubでは「MSNightmare」名義）
脆弱性の種別：Microsoft DefenderにおけるTOCTOU（Time-of-Check to Time-of-Use）レースコンディション。ファイルアクセス前のリンク解決の不適切な処理に起因
影響：完全にパッチ済みのWindows 10・Windows 11において、攻撃者がSYSTEM権限を持つコマンドプロンプト（cmd.exe、NT AUTHORITY\SYSTEM）を生成可能
攻撃条件：低い複雑度・認証済み攻撃者・ユーザー操作不要
テスト済み環境：Windows 11（Official・Canaryチャネル）・2026年6月セキュリティ更新適用済みのWindows 10
動作の確実性：レースコンディションのため成功率は不安定。「一部のマシンでは成功率100%、別のマシンでは苦戦する」（Nightmare Eclipse）
リアルタイム保護の有無：オン・オフいずれでもPoCは動作する
Windows Serverへの影響：PoC自体は動作しないが、Nightmare Eclipseは「すべてのWindows Serverバージョンも脆弱である」と主張（再設計が必要としている）
Microsoftの公式声明：「Microsoft Defenderのマルウェア対策エンジンにおける特権昇格の問題を認識しており、公には『RoguePlanet』として言及されている。高品質なセキュリティ更新の提供に取り組んでいる」
発見者へのクレジット：MicrosoftはNightmare Eclipseを発見者として公式には認めていない
野生での悪用：Microsoftのアドバイザリ時点で確認されていない

1 RoguePlanetの技術的な仕組み
2 Nightmare Eclipseとは——Microsoftとの継続的な対立
3 Microsoft公式アドバイザリの内容
4 対応手順——パッチ提供までの緩和策
5 FAQ
6 参考情報

RoguePlanetの技術的な仕組み

TOCTOUレースコンディションとは

RoguePlanetはMicrosoft Defenderのファイル処理パスにおけるTime-of-Check to Time-of-Use（TOCTOU）レースコンディションを悪用するLPE（Local Privilege Escalation・ローカル特権昇格）の実証コードです。

TOCTOUとは、プログラムが「ファイルの状態を確認する（Check）」処理と「そのファイルを実際に使用する（Use）」処理の間に時間差があることを悪用する攻撃手法です。攻撃者はこのわずかな時間差の間にファイルをすり替えることで、本来意図されていない処理を実行させることができます。

Picus Securityの技術分析によれば、RoguePlanetは以下の要素を組み合わせています。

Defenderのスキャン・対処（remediation）処理
ボリュームシャドウコピーへのアクセス
オプロック（oplock）
NTFSリパースポイントの差し替え
読み取り専用ISOイメージのマウント
Windows Error Reporting（WER）のQueueReportingスケジュールタスク

これらを組み合わせることで、攻撃者はDefenderのファイル処理の隙を突き、最終的にSYSTEM権限のシェルを起動させます。

元々はRCEとして開発されていた

Cyderesの分析によれば、RoguePlanetは元々**リモートコード実行（RCE）**として設計されていました。具体的には、攻撃者が管理するリモートSMB共有上に配置された.vhd（.vhdx）ファイルをDefenderが処理する際の挙動を悪用するものでした。

しかしHive Securityの分析によれば、Microsoftが2026年5月中旬以降にmpengine!SysIO*の挙動を変更したことで、ジャンクション（junction）を使った当初の手法が機能しなくなり、研究者はこれをより限定的なローカル特権昇格（LPE）として再設計したとされています（研究者自身の説明であり、Microsoftが確認した経緯ではありません）。

なぜ「パッチ済みでも効く」のか

今回最も注目すべき点は、2026年6月のセキュリティ更新を適用した完全にパッチ済みの環境でも動作するという点です。これはRoguePlanetが悪用する脆弱性が、これまでにMicrosoftが修正した一連の脆弱性（後述のBlueHammer・RedSun・UnDefend・GreenPlasma・YellowKey・MiniPlasma）とは異なる、未修正の新しい欠陥であることを意味します。

Nightmare Eclipseとは——Microsoftとの継続的な対立

7件目の公開エクスプロイト

RoguePlanetは、「Nightmare Eclipse」がMicrosoft製品を標的に公開してきた一連のゼロデイエクスプロイトの7件目です（BleepingComputer・Help Net Security確認）。これまでに公開された主なエクスプロイトは以下のとおりです。

名称	対象	状態
BlueHammer	Windows特権昇格	CVE-2026-33825として修正済み・野生で悪用あり
RedSun	Windows特権昇格	CVE-2026-41091として修正済み・野生で悪用あり（当サイト既報）
UnDefend	Microsoft Defender	CVE-2026-45498として修正済み・野生で悪用あり（当サイト既報）
GreenPlasma	Windows CTFMON特権昇格	CVE-2026-45586として2026年6月Patch Tuesdayで修正
YellowKey	BitLockerバイパス	CVE-2026-50507として2026年6月Patch Tuesdayで修正
MiniPlasma	（詳細未確認）	2026年6月Patch Tuesdayで修正済みとされる
RoguePlanet（今回）	Microsoft Defender	CVE-2026-50656。パッチ未提供（修正作業中）

対立の背景

Help Net Securityによれば、Nightmare Eclipseは2026年3月から、Microsoftのバグバウンティ（報奨金）プログラムおよび脆弱性開示プロセスへの不満を理由に、Microsoft製品のゼロデイエクスプロイトを次々と公開しています。

SecurityWeekの報道によれば、Microsoftはこれに対し「責任ある開示」を呼びかけるとともに、「悪意あるサイバー活動に従事する、またはそれを助ける者に対しては法的措置を取る」と表明しています。これはサイバーセキュリティ業界の一部で「研究者への脅迫」と受け止められました。

Nightmare Eclipse側は、GitHub・GitLabにホストしていたリポジトリがMicrosoftによって繰り返し削除されたと主張し、**セルフホスト型のGitプラットフォーム（git.projectnightcrawler.dev）**へ移行しました。研究者は「コードが一度公開されれば、Microsoftは私のコードを取り消すことはできない」とブログで述べています。

Huntressが確認した「実際に運用された」実績

Picus Securityの分析が指摘する重要な点として、脅威ハンティング企業Huntressは、Nightmare Eclipseの過去のツール（BlueHammer・RedSun・UnDefend）が実際の攻撃チェーンで使用されたことを確認しています。つまりこの研究者が公開するエクスプロイトは、単なる理論上のリスクではなく、実際の侵入者によって運用される実績があるということです。

Microsoft公式アドバイザリの内容

Microsoftの公式アドバイザリは以下のように記載しています（SecurityWeek確認）。

「Microsoftは、Microsoft DefenderのMicrosoft Malware Protection Engineにおける特権昇格の問題を認識しており、これは公には『RoguePlanet』として言及されています。我々は本脆弱性に対応する高品質なセキュリティ更新の提供に取り組んでいます。更新が利用可能になった時点で、このCVEに情報を提供します」

Help Net Securityによれば、Microsoftのアドバイザリ情報では以下の技術的特徴が示されています。

原因：ファイルアクセス前の不適切なリンク解決（improper link resolution before file access）
攻撃条件：低い複雑度・認証済み攻撃者・ユーザー操作不要
悪用状況：野生での悪用は確認されていない

パッチの提供時期については明示されていません。

対応手順——パッチ提供までの緩和策

① アプリケーション許可リスト（Application Allowlisting）の活用

複数のセキュリティ企業（Picus Security・Ampcus Cyber）が、アプリケーション許可リストがこのエクスプロイトの実行をブロックする効果的な対策であると指摘しています。許可されていない実行可能ファイル（今回のPoC実行ファイル等）の実行を制限することで、攻撃の成立を防ぐことができます。

② SYSTEM権限での異常なプロセス生成の監視

セキュリティチームは、MsMpEng.exe（Defenderのプロセス）のようなセキュリティサービスプロセスから、SYSTEM権限を持つトークンでcmd.exeやpowershell.exeが生成されるという異常なパターンをアラート対象として監視することを推奨します。

③ シグネチャベースの検知への過度な依存を避ける

Nightmare Eclipse自身が「PoCをシグネチャで検知・ブロックする試みを多く見たが、いずれも効果的ではないようだ。PoCの小さな変更で緩和策を完全に回避できる」と指摘しています。シグネチャベースの対策のみに依存せず、振る舞い検知（ビヘイビアベース）の監視を強化してください。

④ Microsoftからの公式パッチを待つ

研究者自身も「現実的にできることは、Microsoftからのパッチを待つことだけだ」と述べています。CVE-2026-50656のページを定期的に確認し、パッチがリリースされたら速やかに適用してください。

⑤ projectnightcrawler.devの監視（セキュリティチーム向け）

Ampcus Cyberは、セキュリティチームに対し、この研究者に関連するセルフホスト型インフラ（projectnightcrawler.dev）を継続的にモニタリングし、新たなPoCの公開や追加のゼロデイ公開がないかを確認するよう推奨しています。

FAQ

Q. パッチはいつ提供されますか？ A. Microsoftは「更新が利用可能になった時点でCVEに情報を提供する」としており、明確な日時は示されていません。次回以降のPatch Tuesdayでの提供が見込まれますが、確定ではありません。

Q. 現在悪用は確認されていますか？ A. Microsoftの公式アドバイザリ時点では野生での悪用は確認されていません。ただし、過去のNightmare Eclipseによる複数のエクスプロイト（BlueHammer・RedSun・UnDefend）は実際に悪用された実績があるため、今後悪用される可能性を排除すべきではありません。

Q. Windows Serverは影響を受けますか？ A. 公開されたPoC自体はWindows Server上では動作しないとされていますが、これは標準ユーザーがISOイメージをマウントできないという技術的制約によるものです。Nightmare Eclipse自身は「すべてのWindows Serverバージョンも脆弱である」と主張していますが、これは未確認の研究者の見解です。