Microsoft Defenderの新たなゼロデイ脆弱性「RoguePlanet」が発覚：最新パッチ適用済み環境でも攻撃可能

マイクロソフトは2026年6月10日にWindows Updateを実施し、既知の複数の脆弱性を修正しましたが、そのわずか数時間後に、「RoguePlanet」と名付けられた新たなゼロデイ脆弱性が公開されました。この脆弱性は、セキュリティ研究者「Nightmare Eclipse」によって開発・公開されたものです。

【概要】RoguePlanetは、Microsoft Defenderに存在するリモートコード実行の脆弱性です。攻撃者は、ユーザーにリモートSMBサーバー上にホストされているファイルを開かせるという手法を利用し、Microsoft Defender自身が自身のファイルを上書きすることで、最終的にリモートコード実行を可能にします。

【技術的特徴と検証】Nightmare Eclipseによれば、この脆弱性は「競合状態（Race Condition）」を利用したものであり、成功するかどうかは運に左右される性質を持つとのことです。同氏は一部のマシンでは100%の成功率を達成したものの、他のマシンでは動作しなかったと報告しています。一方、サイバーセキュリティ企業ThreatLockerは独自のテストを実施し、この脆弱性を再現することに成功したと発表しました。特筆すべき点として、このRoguePlanetは2026年6月10日に適用されたWindows Updateのパッチを全て当てた状態でも機能することが確認されています。

【背景と動機】Nightmare Eclipse氏は過去にもBlueHammer、RedSunなど複数の脆弱性を公開しており、これらの多くが意図的にWindows Update直後に発表される傾向があります。同氏はMicrosoftのバグ報奨金制度に対して強い不満を抱いており、「連絡に応じない」「報告用アカウントの削除」といった理由から、この活動を行っていると見られます。また、GitHubでの追放やアカウント凍結経験も、彼の行動の背景にある「Microsoftへの確執」を示唆しています。

---

背景

ゼロデイ脆弱性とは、ソフトウェアベンダーがまだ気づいていない未知の欠陥を指します。このニュースは、マイクロソフトが大規模なパッチ（Windows Update）を公開した直後に、外部の研究者によって新たな深刻な脆弱性が発見・公開されたという経緯を持っています。これはセキュリティコミュニティにおける典型的な「情報戦」の一環です。

重要用語解説

• ゼロデイ脆弱性: ソフトウェアベンダーに知られていない未知の欠陥のこと。発見され次第、悪用されるリスクが高く、緊急のパッチ適用が求められます。
• リモートコード実行 (RCE): 遠隔地からプログラムを操作し、システム上で任意のコードを実行させる攻撃手法。最も深刻な脆弱性の一つです。
• 競合状態 (Race Condition): 複数の処理が同時に実行される際に、そのタイミングのわずかな差によって予期せぬ動作やバグが発生する条件のこと。

今後の影響

このRoguePlanetのようなゼロデイ脆弱性の存在は、パッチ適用を完了したと信じられていたシステムであっても安全ではないことを示します。企業や組織は、単なるOSアップデートだけでなく、セキュリティ監視体制の強化や、より高度な侵入検知・防御システムの導入が急務となります。今後の展開として、マイクロソフト側による迅速かつ詳細な対策パッチの提供が期待されます。