1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Microsoft Defenderのゼロデイ「RoguePlanet」が2026年6月の定例パッチ 数時間後に公開

Microsoft Defenderのゼロデイ「RoguePlanet」が2026年6月の定例パッチ 数時間後に公開

セキュリティニュース

投稿日時: 更新日時:

Microsoft Defenderのゼロデイ「RoguePlanet」が2026年6月の定例パッチ 数時間後に公開

2026年6月9日(日本時間6月10日)、Microsoftがパッチチューズデーの月例更新を公開した数時間後、匿名のセキュリティ研究者「Nightmare Eclipse(別名:Chaotic Eclipse、Dead Eclipse)」が、Microsoft Defenderを標的とする新たなゼロデイ脆弱性の概念実証コード(PoC)を「RoguePlanet」と名付けてGitHubに公開しました

このリリースが特に注目を集める理由は3点あります。

第一に、今回の攻撃が完全にパッチ適用済みのWindows 10およびWindows 11(2026年6月パッチチューズデー適用後の最新状態)で動作することです。

第二に、研究者自身のブログで「一度公開したら誰も消せない」と宣言していたGitHubリポジトリが、公開後に非公開化されているという事です。

第三に、これがNightmare Eclipseによる2026年以降の7件目の無協調開示(Uncoordinated Disclosure)であり、Microsoft MSRC(セキュリティ脆弱性報告センター)アカウントを削除されたことへの報復と目されている点です。脆弱性はCVEが現時点で未採番であり、Microsoftからの公式な認定も修正の見通しも示されていません。本記事では事案の経緯・技術的な手口・影響範囲・GitHubリポジトリの非公開化・Nightmare Eclipseとの紛争の背景・企業が取るべき当面の対応を解説します。

サマリー

  • 2026年6月9日、パッチチューズデーの数時間後にNightmare Eclipseが「RoguePlanet」PoC(概念実証コード)をGitHubに公開
  • 脆弱性種別:Microsoft Defender内部のレースコンディション(TOCTOU型:Time-of-Check to Time-of-Use)→ ローカル特権昇格(LPE)→ SYSTEM権限シェル取得
  • 影響対象:Windows 10・Windows 11(2026年6月パッチチューズデー適用済みの完全更新環境でも動作確認)
  • 影響対象外(現行PoCは非動作):Windows Server——「標準ユーザーがISOイメージをマウントできない」ため。ただし研究者は「設計を変更すれば全Windowsサーバー環境でも動作する」と明言
  • CVE番号未採番。GitHubリポジトリ・READMEのどこにもCVE番号・Microsoftの承認・責任ある開示のタイムラインへの言及なし(AI Weekly確認)
  • 成功率:「レースコンディションのため成否は不安定。一部の機では100%成功、他では不安定」と研究者が自ら認める
  • GitHubリポジトリ:公開時は https://github.com/MSNightmare/RoguePlanet で公開されていたが現在は非公開。研究者は公開直前に「一度公開されたら削除不可能」と宣言していた
  • 研究者のアカウント:Microsoft に以前の GitHub・GitLab アカウントを削除されたため、**新規アカウント「MSNightmare」**で公開
  • 公開ブログ:PGP署名付き投稿として deadeclipse666.blogspot.com で公開(一次ソース)
  • シリーズ通算7件目:BlueHammer(CVE-2026-33825)・UnDefend(CVE-2026-45498)・RedSun(CVE-2026-41091)・YellowKey・GreenPlasma・MiniPlasma に続く開示
  • Microsoftの対応:現時点で公式な声明・CVE採番・修正の見通しなし

影響範囲—完全パッチ済み環境で動作、Windows Serverは「設計変更すれば動く」

GitHubリポジトリのREADMEには以下の記述が含まれていました

「本エクスプロイトは2026年6月パッチをインストールしたWindows 11(正式チャンネル+Canary)およびWindows 10でテスト済みです。標準ユーザーがISOイメージをマウントできないため、現行のPoCはWindows Serverでは動作しません。

しかし、Windows Serverの全インストール環境も同様に脆弱です。エクスプロイトの設計を変更するだけでよいのですが、Windows Server環境でPoCが動作しないと気づいた時点では、再設計は間に合いませんでした。しかし明確に言います——すべてのWindows Serverインストールも脆弱であり、エクスプロイトを再設計するだけで対応できます。」GitHub検索キャッシュより確認)

まとめると:

環境 現行PoCの動作 脆弱性の有無
Windows 10(6月パッチ適用済み) 動作確認済み 脆弱
Windows 11(6月パッチ適用済み) 動作確認済み 脆弱
Windows Server(全バージョン) 現行PoCは非動作 設計変更すれば動作可能と研究者が明言

技術的な手口—ISOマウントを使ったパスリダイレクト攻撃

RoguePlanetはMicrosoft Defenderが持つSYSTEM権限での書き込み操作を標準ユーザーが乗っ取る攻撃です。

脆弱性の種類:TOCTOU(Time-of-Check to Time-of-Use)型レースコンディション

TOCTOU脆弱性とは、ソフトウェアが「確認する時点(Time-of-Check)」と「実際に使用する時点(Time-of-Use)」の間にタイミングのズレが生じることで、攻撃者がその隙間に割り込める設計上の欠陥です。

Microsoft Defenderはシステムの保護プロセスとしてSYSTEM権限で動作しており、ファイルの書き込み操作もSYSTEM権限で実行されます。RoguePlanetはこのDefenderのファイル操作を、標準ユーザーがISOイメージのマウントを利用して作成したNTFSジャンクションポイントにリダイレクトします。Defenderは自らがSYSTEM権限でファイルを書き込んでいるつもりが、実際には攻撃者が仕掛けたパスに書き込むことになり、攻撃者のコードがSYSTEM権限で実行されます。

結果として、SYSTEMレベルの特権を持つコマンドシェルが起動します。

この攻撃パターンは、同じNightmare Eclipseが発見し2026年4月にMicrosoftが修正した**BlueHammer(CVE-2026-33825・CVSS 7.8 High)**と同様の手法であり、Microsoftによるパスリダイレクト攻撃への対策が依然として不完全であることを示しています。

GitHubリポジトリが「非公開」に—研究者の言葉と矛盾する結末

今回の公開において特筆すべき点は、研究者が自身のブログ投稿で「Microsoftが私のGitLabとGitHubアカウントを削除したとしても、彼らは私のコードを『書き消す』ことはできない。一度公開されたら削除不可能だ」と宣言していたにもかかわらず、公開後にGitHubリポジトリ(https://github.com/MSNightmare/RoguePlanet)が非公開化されているという事実です。

研究者は以前の GitHubアカウント「Nightmare-Eclipse」と GitLabアカウントをMicrosoftによって削除されたため、今回は新規アカウント「MSNightmare」でPoCを公開しました。しかし公開後に非公開化されたリポジトリについて、研究者側からは現時点で説明がありません。

研究者の主張——「3週間飲まず食わず」で開発、まだ複数の未公開脆弱性を保有

研究者はPGP署名付きのブログ投稿(deadeclipse666.blogspot.com、2026年6月9日12:33 PDT公開)でRoguePlanetの開発経緯を以下のように語っています。

「5月初めから継続的にこの問題に取り組んできた。5月第2週の時点で動作するプロトタイプを完成させたが、エンジンアップデートをインストールした後、PoCが動作しなくなった。Microsoftは、私が何度も同じことをDefenderに対して行えないよう膨大な努力を投じている。残念ながら彼らにとっては、私はPoCをもう一度動作させることに決意していた。3週間、私は食事も水も取らず、外の景色すら忘れた。96時間の連続作業の後に3時間睡眠した。このPoCを動作させることは本当に私の魂を消耗させ、精神的・肉体的健康を深刻に損なった。しかし5月末に完全なPoCが完成した。」

また「Defenderにはメモリ破損脆弱性のバッチが別にあり、他のコンポーネントにも複数のバッチがある」と追加の未公開脆弱性を保有していることを示唆しています。

Nightmare Eclipseの開示シリーズ——Microsoft MSRCとの紛争から始まった7件の無協調開示

The Hacker Newsは「これらの無協調開示は、研究者と脆弱性報告プロセスの取り扱いをめぐるMicrosoftとの紛争に端を発した報復的な取り組みと評価される」と報じています。研究者はPGP署名付きの複数のブログ投稿で、MicrosoftがMSRC(Microsoft Security Response Center)アカウントへのアクセスを取り消したことへの不満を表明しています。

過去の開示シリーズと修正状況は以下のとおりです。

公開名称 CVE 修正状況
BlueHammer CVE-2026-33825(CVSS 7.8) 2026年4月パッチで修正済み
UnDefend CVE-2026-45498 修正済み
RedSun CVE-2026-41091 Microsoftが当初CVEなしでサイレント修正→研究者が指摘
YellowKey CVE未確認 BitLocker関連
GreenPlasma CVE-2026-45586(CVSS 7.8) 2026年6月パッチチューズデーで修正済み
MiniPlasma CVE-2020-17103の不完全修正 2026年6月パッチチューズデーで完全修正
RoguePlanet 未採番 未修正・修正見通し不明

注目すべきは、今回のパッチチューズデーでGreenPlasmaとMiniPlasmaの2件が修正された当日に、新たなRoguePlanetが公開されている点でうs

企業・情報システム担当者が取るべき当面の対応

ISOイメージマウントの権限制御:現行PoCはISOイメージのマウントを悪用しています。標準ユーザーによるISOマウントを組織のグループポリシーで制限することが、現時点で最も有効な暫定対策です。これはWindows Serverが現行PoCの影響を受けない理由と同様の考え方です。

エンドポイントの行動監視の強化:Microsoft Defender for Endpoint等のEDRツールを使って、Defenderプロセスからの異常なファイル書き込みや予期しないNTFSジャンクションポイントの作成をアラートの対象に加えることを推奨します。AIWeeklyは「EDR/エンドポイントセキュリティベンダーはRoguePlanetのレースコンディションパターンの検出シグネチャを公式パッチ前に追加できる」と指摘しています。

ローカルアクセスの管理の徹底:RoguePlanetは**ローカル特権昇格(LPE)**であり、リモートでの直接悪用は不可能です。外部からの不正アクセスを防ぐ既存の境界防衛と、内部ユーザーへの最小権限原則の徹底が引き続き重要です。

CVEとパッチの動向の監視:現時点でCVEが未採番であり、Microsoftからの公式声明もありません。Microsoft Security Response Center(https://msrc.microsoft.com)のアドバイザリ更新を定期的に確認し、修正が公開された際には速やかな適用が必要です。

FAQ

Q. RoguePlanetのGitHubリポジトリが非公開になっていますが、コードは流出していますか? A. BleepingComputer・The Hacker News・CyberSecurityNews等の主要セキュリティメディアが公開時のREADMEの内容を独立して確認・報告しており、技術情報はすでに公知の状態です。研究者は公開時に「一度公開されたら削除不可能」と宣言しており、コードの内容を報告した複数の独立したメディア記事が存在します。

Q. 完全にパッチを適用しているWindows 10/11でも危険ですか? A. 現行のPoCは「成功率にばらつきがある」とNightmare Eclipse本人が認めていますが、2026年6月パッチチューズデー適用済みの最新環境で動作確認されています。CVEが未採番で公式修正がない現時点では、ISOマウント権限の制限などの暫定対策を実施することを推奨します。

Q. Windows Serverは安全ですか? A. 現行のPoCはWindows Serverでは動作しませんが、研究者は「設計を変更すれば全Windows Server環境でも動作する。ただし私はもうこのバグには取り組まない」と明言しています。完全に安全とは言えない状況です。

Q. なぜMicrosoftはこの脆弱性にCVEを採番しないのですか? A. 今回の開示は「責任ある開示(Coordinated Vulnerability Disclosure)」のプロセスを踏んでおらず、MicrosoftへのCVD報告なしに直接公開されました。AI Weeklyも「CVE番号・Microsoftの承認・責任ある開示タイムラインへの言及がリポジトリ・READMEのどこにもない」と確認しています。Microsoftは通常、このような無協調開示への公式なCVE採番を遅らせる場合があります。

参考情報

関連記事

Microsoft、ゼロデイ脆弱性を公表した匿名セキュリティ研究者を「訴追しない」と方針転換Microsoft、ゼロデイ脆弱性を公表した匿名セキュリティ研究者を「訴追しない」と方針転換-6月にもゼロデイ脆弱性公開 示唆 Windows ゼロデ イ脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正Windows ゼロデ イ 脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正 Microsoft、ゼロデイ 脆弱性のRedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)の緊急パッチを公開・YellowKey(CVE-2026-45585)は「緩和策のみ」Microsoft、ゼロデイ 脆弱性のRedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)の緊急パッチを公開・YellowKey(CVE-2026-45585)は「緩和策のみ」 Microsoft Defender のゼロデイ 脆弱性3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825)Microsoft Defender のゼロデイ 脆弱性 3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) フーシ派参戦でイラン紛争が拡大|紅海・ホルムズ海峡封鎖と日本の原油への影響フーシ派 参戦でイラン紛争が拡大-紅海・ホルムズ海峡封鎖と日本の原油への影響 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。前2件は公開後すぐ実攻撃に悪用Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用 いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】