Windows ゼロデ イ 脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正

セキュリティニュース

投稿日時: 更新日時:

Windows ゼロデ イ脆弱性「MiniPlasma」-2020年に「修正済み」のCVE-2020-17103が実は未修正

2026年5月13日、「Nightmare-Eclipse」(別名:Chaotic Eclipse)というハンドルで活動するセキュリティ研究者が、Windowsの権限昇格ゼロデイ脆弱性「MiniPlasma」の武器化済みPoC(概念実証コード)をGitHubで公開しました。

この脆弱性の根本は、Microsoftが2020年12月に「修正済み」と発表したCVE-2020-17103(CVSS 7.0)と「まったく同一の問題」が実際には修正されておらず、現在も悪用可能な状態で残存しているというものです。BleepingComputerが2026年5月の最新Patch Tuesdayを適用した完全パッチ済みWindows 11 Proで実機検証を行い、標準ユーザーアカウントからのSYSTEM権限奪取を確認しています。脆弱性アナリストのWill Dormann氏(Tharros社プリンシパルアナリスト)も最新版Windows 11での実機検証を行い、同様の結果を確認しました。

MiniPlasmaは、同研究者がMicrosoftのバグレポート対応への不満を理由に今年4月から連続公開してきたゼロデイの6件目です。当サイトではすでにBlueHammer・RedSun・UnDefend(2026年4月)YellowKey・GreenPlasma(2026年5月12日)の5件を報告してきました。前5件のうち3件(BlueHammer・RedSun・UnDefend)はすでに実際のサイバー攻撃への悪用が確認されており、過去のパターンからMiniPlasmaについても早期の野生悪用が強く懸念されます。

2026年5月13日のPatch Tuesdayの翌日に公開されたため、次回のPatch Tuesday(2026年6月10日)まで公式修正が提供されません。Microsoftは本稿執筆時点でMiniPlasmaに対して新たなCVEを発番していません。

【この記事のサマリー】

  • MiniPlasma:Windowsの「Cloud Files Mini Filter Driver(cldflt.sys)」内のHsmOsBlockPlaceholderAccessルーティンに存在するローカル権限昇格(LPE)ゼロデイ。2020年9月にGoogle Project ZeroのJames Forshaw氏がMicrosoftに報告しCVE-2020-17103として2020年12月に修正済みとされていたが、実際には同一の問題が現在も残存
  • 発見経緯:Nightmare-Eclipseが前作「GreenPlasma」の調査中にCloudFilterドライバーの同一ルーティンを調べ直したところ、Forshaw氏のオリジナルPoCが無修正で動作することを発見。「Microsoftが一度も修正しなかったのか、パッチがいつかサイレントにロールバックされたのか不明」と述べている。
  • 攻撃手法:レースコンディション(TOCTOU)。低権限ユーザーが.DEFAULTレジストリハイブに任意のレジストリキーを書き込み可能になるアクセスチェック欠如によりSYSTEM権限シェルを起動できる。
  • 影響範囲:完全パッチ適用済みのWindows 11(24H2を含む)およびWindows Server 2025
  • PoCの公開状況:ソースコードとコンパイル済み実行ファイルの両方がGitHubで公開済み。公開から数日でGitHubのスター数が390件超に達した。
  • 公式修正の見通し:Microsoftは新たなCVEを割り当てておらず、最短の修正タイミングは2026年6月10日(次回Patch Tuesday)
  • 連続開示6件目:BlueHammer(CVE-2026-33825・実攻撃確認)→RedSun(サイレント修正・実攻撃確認)→UnDefend(実攻撃確認)→YellowKey(BitLockerバイパス)→GreenPlasma(CTFMON標的)→MiniPlasma(本件)。

【背景】Nightmare-Eclipseによる連続ゼロデイ開示の全経緯

MiniPlasmaを正しく理解するには、今年4月から続く連続開示の全体像の把握が不可欠です。

第1〜3弾:BlueHammer・RedSun・UnDefend(2026年4月)——3件すべて実攻撃に悪用済み

当サイトの2026年4月の記事で詳報した通り、Nightmare-Eclipseは2026年4月、Microsoft Defenderを標的とした3件のゼロデイをGitHubで公開しました。

BlueHammer(CVE-2026-33825)はWindowsのローカル権限昇格(LPE)で、2026年4月14日のPatch Tuesdayで修正されましたが、公開直後から実際の攻撃への悪用が確認されました。

RedSun(CVE番号なし・Microsoftがサイレント修正)はBlueHammerがパッチ済みの環境でもSYSTEM権限を取得できるLPEで、Microsoftは研究者への通知なしにサイレント修正を行いました。公開直後から実攻撃への悪用が確認されました。

UnDefendはMicrosoft Defenderの署名更新を遮断して実質的にDefenderを盲目化するDoSツールで、管理コンソール上は正常と表示されるためSOCが気づきにくく、後続のランサムウェア展開向けの「検知回避の下準備」として利用されました。こちらも実攻撃への悪用が確認されています。

セキュリティ企業Huntress Labsは2026年4月16日に3件の野生での悪用を公式に確認・発表しています。

第4〜5弾:YellowKey・GreenPlasma(2026年5月12日)——Patch Tuesdayの前日に公開

当サイトの2026年5月15日の記事で詳報した通り、Nightmare-Eclipseは2026年5月のPatch Tuesday(5月13日)の前日にあたる5月12日に追加で2件のゼロデイをGitHubで公開しました。

YellowKeyはWindowsのフルディスク暗号化機能BitLockerをバイパスするゼロデイで、Windows回復環境(WinRE)の挙動を悪用してTPM-onlyモードのBitLockerを回避し、暗号化ドライブへのシェルアクセスを取得するものです。対象はWindows 11・Windows Server 2022・2025(Windows 10は対象外)で、物理アクセスが前提条件となります。Nightmare-Eclipseは「これまで発見した中で最も衝撃的な発見の一つ」と述べ、問題のあるコンポーネントがWinREの中にしか存在しないため「バックドアのように機能する」と主張しています。YellowKeyのPoCにはUSBドライブに載せて使うファイル一式が含まれています。

GreenPlasmaはCTFMON(ctfmon.exe)プロセスを標的にWindowsオブジェクトマネージャーのセクションオブジェクト作成を悪用した権限昇格で、非特権ユーザーがSYSTEM権限を取得可能です。

両脆弱性ともに2026年5月13日時点でMicrosoftからCVEの割り当ても修正パッチの提供もありませんでした。前2件(BlueHammer・RedSun)の悪用パターンから、YellowKeyおよびGreenPlasmaについても早期の実攻撃悪用が懸念されています。

第6弾:MiniPlasma(2026年5月13日)——「修正済み」だったはずの2020年の脆弱性が復活

これが本記事の主題です。2026年5月13日のPatch Tuesdayと同日に公開されました。

脆弱性の技術詳細——「6年前に報告・修正済み」のはずが未修正のまま残存

根本原因:HsmOsBlockPlaceholderAccess関数のアクセスチェック欠如

MiniPlasmaが標的とするのは、Windowsの**Cloud Files Mini Filter Driver(cldflt.sys)**内のHsmOsBlockPlaceholderAccessルーティンです。このドライバーはOneDriveのファイル同期などの「プレースホルダー」機能を担うカーネルコンポーネントで、ユーザーがOneDriveにサインインするか、エンタープライズイメージでは自動的に読み込まれます。最新のWindowsインストール環境のほぼすべてでcldflt.sysは常時ロードされている状態です。

Google Project ZeroのForshaw氏が2020年9月に報告した当初の調査によれば、この脆弱性の本質はHsmOsBlockPlaceholderAccess関数がレジストリキー作成処理において**OBJ_FORCE_ACCESS_CHECKフラグを適切に指定していない**点にあります。これにより低権限の呼び出し元が通常のアクセス制限をバイパスし、.DEFAULTユーザーハイブに任意のレジストリキーを書き込むことが可能になります。

Nightmare-Eclipseは「GreenPlasmaの手法(特にSetPolicyVal)を再調査する中で、このルーティンに同じ問題がある可能性に気づいたが、Microsoftがそれを修正しないか、あるいはパッチをロールバックするなどということはあり得ないと思っていたので見過ごしていた」と説明しています。しかし実際に調査したところ、GoogleのオリジナルPoCが一切の変更なしに機能したと述べています。

攻撃フロー

攻撃はローカルコード実行が前提条件ですが、それさえあれば以下の流れでSYSTEM権限を奪取できます。

Step 1として低権限ユーザーがMiniPlasmaのexploitを実行します。Step 2としてcldflt.sys内のレースコンディションを悪用し、.DEFAULTハイブに任意のレジストリキーを書き込みます。Step 3としてレジストリの書き込みを通じて特権的なオブジェクトを操作し、SYSTEMシェルを起動します。

Nightmare-Eclipseは「自分の環境では安定して動作するが、レースコンディションであるため成功率は環境によって異なる可能性がある」と述べています。

影響を受ける環境の確認方法

以下のレジストリパスへの書き込みが悪用の重要な指標となります。

HKEY_USERS\.DEFAULT\
HKEY_USERS\.DEFAULT\Software\Classes\

ThreatLockerはMITRE ATT&CK TA0004(権限昇格)にマッピングしたコミュニティポリシー「TL.REG.1747 – Mini Plasma Reg Key Created(2026年5月18日公開)」を提供しており、MiniPlasmaの実行試行を検知できます。

連続開示6件の全体像——公開パターンと悪用の経緯

名称 公開日 種別 CVE 野生での悪用確認 対象
BlueHammer 2026年4月 LPE(権限昇格) CVE-2026-33825 確認済み(公開後すぐ) Windows(Defender)
RedSun 2026年4月 LPE(権限昇格) なし(サイレント修正) 確認済み(公開後すぐ) Windows(Defender)
UnDefend 2026年4月 Defender DoS 確認済み(公開後すぐ) Microsoft Defender
YellowKey 2026年5月12日 BitLockerバイパス なし 調査中 Windows 11/Server 2022・2025
GreenPlasma 2026年5月12日 LPE(CTFMON標的) なし 調査中 Windows
MiniPlasma 2026年5月13日 LPE(cldflt.sys標的) なし(CVE-2020-17103の再浮上) 現時点では未確認 Windows 11/Server 2025

先行する3件(BlueHammer・RedSun・UnDefend)はいずれも公開後すぐに実攻撃への悪用が確認されており、過去のパターンからMiniPlasmaについても早期の野生悪用が強く懸念されます。

「Microsoftへの不満」による調整開示なし公開の繰り返し

Nightmare-Eclipseがこれら6件を「責任ある開示(Coordinated Disclosure)」ではなく直接公開している背景には、Microsoftのバグレポート処理への強い不満があると説明しています。

RedSunについてはMicrosoftがCVE識別子を発番せずにサイレント修正を行ったこと、またMiniPlasmaについては2020年の修正がそもそも不完全だったか、いつか静かにロールバックされたかのいずれかであることを研究者は問題視しています。

これに対しMicrosoftは「Coordinated Vulnerability Disclosure(責任ある脆弱性開示)は広く採用されている業界慣行であり、公開前に問題が慎重に調査・対処されることを確保し、顧客保護とセキュリティ研究コミュニティの双方を支援する」と声明を出しています。

December 2025のPatch TuesdayではCVE-2025-62221(CVSS 7.8)としてcldflt.sysの別の権限昇格の脆弱性が修正されており、同コンポーネントが継続的なセキュリティ問題を抱えていることが背景にあります。

公式修正の見通しと現在の対応策

パッチの見通し

Microsoftは現時点でMiniPlasmaに対して新たなCVEを割り当てておらず、最短の公式修正タイミングは**2026年6月10日(次回Patch Tuesday)**です。Microsoftはカーネルミニフィルタードライバー(cldflt.sys)の変更をOneDriveの同期破損リスクから定期パッチサイクル外で実施することを避ける傾向があります。

現在取りうる対応策

ネットワークセグメンテーションとアクセス制限として、攻撃はローカルコード実行が前提条件のため、信頼されていない実行ファイルや悪意ある配布物の実行を防ぐことが最初の防衛線となります。

EDRのルール追加として、.DEFAULTユーザーハイブへの予期しないレジストリ書き込みやcldflt.sysに関連するエラー、予期しない権限昇格のイベントログを監視してください。

ThreatLockerコミュニティポリシーとして、ThreatLocker製品を使用している環境では「TL.REG.1747 – Mini Plasma Reg Key Created」(2026年5月18日公開)の適用を推奨します。

YellowKey・GreenPlasmaの対応も合わせて実施してください。BitLockerを使用している環境では物理アクセスの管理強化とYellowKeyのリスク低減措置を、CTFMONプロセスを監視するEDRルールの追加でGreenPlasmaの検知を強化してください。詳細は当サイトのYellowKey・GreenPlasma記事をご参照ください。

参考情報(1次ソース)