セキュリティ研究者ナイトメア・エクリプスが、Microsoft Defender の新たなゼロデイ「RoguePlanet」を公開した。
2026年6月のPatch Tuesdayで2件の脆弱性が修正された数時間後のことだ。この脆弱性は完全にパッチを適用した Windows 10 と Windows 11 に影響し、Defender の競合状態を突いてSYSTEM権限のコマンドプロンプトを起動できる。研究者は自前のGitリポジトリでPoCを公開した。
ThreatLocker は KB5094126 適用済みの Windows 11 で再現に成功し、CEOのダニー・ジェンキンスはアプリケーションの許可リストで実行を防げると述べた。研究者はこれまでに BlueHammer、RedSun、GreenPlasma、YellowKey を公開しており、今回の公開は Microsoft の開示方針をめぐる対立の一環だ。
Microsoft は2026年6月10日、脆弱性を認識し調査中だと回答した。
From: Microsoft Defender ‘RoguePlanet’ zero-day grants SYSTEM privileges
【編集部解説】
今回の一件で最初に立ち止まって考えたいのは、「守るためのソフトが、侵入の扉になった」という構図です。Microsoft Defender は本来 Windows を防御する仕組みですが、その内部処理の隙が、攻撃者に最高権限を渡す経路として使われました。番犬が自分で鍵を開けてしまうような皮肉が、この事案の本質にあります。
技術的な肝は「競合状態(レースコンディション)」です。これは、複数の処理がほぼ同時に走るわずかな時間差を突き、本来あり得ない状態を作り出す手法を指します。Defender がファイルを処理する一瞬の隙に割り込むことで、一般ユーザー権限から SYSTEM 権限へと跳ね上がる――いわゆるローカル権限昇格(LPE)が成立します。研究者自身が「成功するかは運次第」と認めているのは、この時間差頼みという性質ゆえです。
ここで冷静に押さえておきたいのは、影響範囲です。RoguePlanet は現時点では「すでに端末内に足場を持つ攻撃者が、権限を引き上げる」ためのものであり、ネットを通じて勝手に感染が広がるワーム型ではありません。研究者は当初、リモートの共有フォルダ経由で動くリモートコード実行(RCE)として開発したと述べています。さらに研究者は、Microsoft が5月中旬に内部API(mpengine!SysIO*)を静かに堅牢化し、依拠していた攻撃手法が遮断されたため書き直しを迫られた、とも説明しています。ただし、この堅牢化はMicrosoft公式が認めたものではなく、あくまで研究者側の主張である点には留意が必要です。研究者自身、現状がLPEにとどまるのか、なおRCEへ転用し得るのかは「不明なままだ」としており、ここは断定を避けて見ておくのが妥当でしょう。なお検証企業 ThreatLocker は、アプリケーション許可リストが少なくともPoCの実行を抑止する有効な防御層になり得ると指摘しており、過度に恐れる段階ではないと考えられます。
一方で、数字や型番には注意が必要です。一部の海外メディアは RoguePlanet を「CVE-2026-47281、CVSS 9.6、すでに修正済みで悪用も確認」と報じていますが、これは別の脆弱性との取り違えが疑われます。CVE-2026-47281 は Visual Studio Code の権限昇格脆弱性として整理されており、RoguePlanet とは別物です。Microsoft のコメントを掲載した BleepingComputer の報道では、RoguePlanet は Patch Tuesday の後に新規公開された“未修正”のゼロデイで、Microsoft は「報告を認識し調査中」という段階にとどまります。なお同じ6月のPatch Tuesday自体は、BleepingComputer の集計で200件の脆弱性を修正しており、媒体によって198件から200件超までと集計に幅がある点も、情報を扱う側として留意したいところです。
そして、この記事を“今”取り上げる理由は、単一のバグそのものよりも、その背後で起きている対立にあります。研究者ナイトメア・エクリプス(別名 Chaotic Eclipse)は、4月から5月にかけて Windows Defender や BitLocker を狙う6件のゼロデイを立て続けに公開してきました(今回の元記事が名指しするのは、そのうち BlueHammer・RedSun・GreenPlasma・YellowKey の4件です)。これに対し Microsoft は5月27日のブログでデジタル犯罪対策部門(DCU)や法執行機関との連携に言及し、多くの専門家がこれを刑事訴追の示唆と受け止めました。批判を受けて Microsoft は6月1日、「セキュリティ研究を行い公開する個人に対して措置を講じる意図はない」と事実上の後退を表明しています。
問題の根には、報奨金(バグバウンティ)と開示をめぐる信頼の崩壊があります。研究者は、報告に使っていた Microsoft のアカウントが削除され、対価も受け取れなかったと主張しています。Microsoft のバグバウンティ制度を立ち上げた当事者であるケイティ・ムスーリス氏でさえ、同社の対応を「矛盾したメッセージ」と評し、古い「責任ある開示」という用語の復活を批判しました。協調的開示(CVD)という、ベンダーと研究者が時間をかけて協力する暗黙の社会契約が、当事者間の不信によって機能不全に陥る――これは技術というより、人と組織の仕組みの問題です。
長期的な視点で見ると、この摩擦はさらに重みを増します。今回のPatch Tuesdayが記録的な規模になった背景については、AIによる脆弱性発見の加速を指摘する見方もあります。ただし、Microsoftが今回の件数増の主因としてAIを公式に認めたわけではありません。発見のペースが上がるほど、誰がいつどう公表するかという「開示の作法」を支える信頼の質が、防御の成否を左右します。日本の読者にとっても、JPCERT/CC を介した調整型の開示文化が根づくなかで、ベンダーと研究者の関係が断絶したとき何が起きるのかを示す、示唆に富む事例だといえます。RoguePlanet という一つの脆弱性は早晩修正されるでしょう。けれど、その奥にある「脆弱性をどう社会で扱うか」という問いは、技術の進化が速まるほど、私たちの前に長く残り続けます。
【用語解説】
ゼロデイ(zero-day)
ベンダーが修正パッチを用意できていない、あるいは存在を把握していない段階の脆弱性、およびそれを突く攻撃を指す。防御側の準備が「0日」しかないことが名称の由来である。
競合状態(レースコンディション)
複数の処理がほぼ同時に動く際の、わずかな時間差や順序の乱れを突く欠陥。攻撃者は本来あり得ないタイミングに割り込み、想定外の状態を作り出す。成功が時間差頼みになるため、再現性が不安定になりやすい。
ローカル権限昇格(LPE)
すでに端末内で動ける攻撃者が、一般ユーザー権限から管理者や SYSTEM 権限へと自らの権限を引き上げる手口。単独では侵入できないが、別の侵入手段と組み合わさると被害が深刻化する。
リモートコード実行(RCE)
ネットワーク越しに、標的の端末上で任意のコードを実行させる攻撃。LPE より影響が大きく、攻撃の起点になりやすい。
SYSTEM権限
Windows で最も強い内部権限。これを奪われると、事実上その端末のすべてを掌握される。
PoC(概念実証)
脆弱性が実際に悪用可能であることを示す実証コードや手順。研究目的で公開される一方、悪用の手引きにもなり得る。
Patch Tuesday
Microsoft が毎月第2火曜日に定例のセキュリティ更新をまとめて配信する慣行。月次でまとめることで、管理者が計画的に対処できるようにする狙いがある。
アプリケーション許可リスト(アローリスト)
あらかじめ許可したソフトのみ実行を認め、それ以外をすべて拒否する「デフォルト拒否」型の防御。未知のマルウェアやエクスプロイトの実行も原理的に止めやすい。
CVE/CVSS
CVE は個々の脆弱性に付与される国際的な識別番号。CVSS はその深刻度を0〜10で数値化した指標で、9以上は最重大級とされる。
バグバウンティ(報奨金制度)
脆弱性を見つけて適切に報告した研究者に、ベンダーが対価を支払う仕組み。研究者と企業の協力関係を支えるインセンティブとして機能する。
協調的開示(CVD)/責任ある開示
研究者がベンダーに先に通知し、修正までの猶予を与えてから情報を公開する作法。今回の対立は、この暗黙の社会契約が当事者間の不信で崩れた事例といえる。
デジタル犯罪対策部門(DCU)
Microsoft の法的・技術的なサイバー犯罪対策チーム。今回はこの部門への言及が、研究者への威圧と受け止められた。
ナイトメア・エクリプス(Nightmare Eclipse/別名 Chaotic Eclipse)
匿名のセキュリティ研究者。Windows の内部に精通し、複数のゼロデイを連続公開している人物として知られる。
ケイティ・ムスーリス(Katie Moussouris)
Microsoft のバグバウンティ制度を立ち上げた人物で、現在は Luta Security を率いる。脆弱性開示のあり方をめぐる第一人者である。
【参考リンク】
Microsoft(外部) Windows や Microsoft Defender を提供する開発元。製品の公式情報やセキュリティ更新を確認できる起点となる公式サイト。
Microsoft Security Response Center(MSRC)(外部) Microsoft 製品の脆弱性報告・調整やバグバウンティを担う窓口。今回の開示対立の中心にある部署の公式サイト。
ThreatLocker(外部) RoguePlanet の再現に成功し緩和策を示した企業。アプリケーション許可リストによるゼロトラスト防御を提供する。
JPCERTコーディネーションセンター(外部) 日本で脆弱性情報の調整や注意喚起を担う組織。協調的開示の国内的な受け皿として機能する公式サイト。
Luta Security(外部) ケイティ・ムスーリス氏が率いる、脆弱性開示やバグバウンティの設計を専門とするセキュリティ企業の公式サイト。
【参考記事】
Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws(BleepingComputer)(外部) 6月のPatch Tuesdayで200件の脆弱性を修正と報じる記事。RoguePlanetが未修正である本件との切り分けに有用。
Microsoft’s June 2026 Patch Tuesday Smashes Record With Over 200 Security Fixes(HotHardware)(外部) 6月の更新が過去最多規模に達し、脆弱性の発見にAIが寄与しているとの見方を伝える記事。長期的視点の根拠とした。
Microsoft’s GitHub bans security researcher who posted zero-day Windows exploits(Tom’s Hardware)(外部) GitHubのアカウント停止とGitLab移行を報じる記事。報奨金の金額や未払いの主張など、対立の金銭的背景を裏づける。
Microsoft Backs Off Threats Against Security Researchers For Zero-Day Reveal(WinBuzzer)(外部) Microsoftが6月1日に研究者への措置の意図はないと表明し、事実上後退したことを報じる重要な背景記事。
Nightmare Eclipse incident shows the researcher-vendor fights may never fully go away(CyberScoop)(外部) 個別のバグでなく研究者とベンダーの構造的な対立を論じた分析記事。協調的開示の限界という論点を補強した。
【関連記事】
Windows ゼロデイ「MiniPlasma」、6年前の修正済み脆弱性が復活しSYSTEM権限を奪取 同一研究者ナイトメア・エクリプスによる直近のSYSTEM権限奪取ゼロデイ。RoguePlanetへ続く一連の流れを把握できる直前のエピソード。
BitLockerをUSB一本で破るPoC公開——CVD制度を「報復の道具」にした研究者と、沈黙するMicrosoft YellowKey・GreenPlasmaを軸に、CVD(協調的開示)と「報復型公開」の倫理を深掘りした記事。本稿の【編集部解説】の問題意識と直結する。
Microsoft Defenderゼロデイ「BlueHammer」ら3件が悪用中 一連の対立シリーズの起点。研究者とMSRCの評価・謝辞をめぐるすれ違いを記録している。
【編集部後記】
私たちは、セキュリティソフトを「入れておけば安心なもの」として、つい背景に置きがちです。けれど今回の RoguePlanet は、その守り手自身が抱える隙と、それを見つけて社会に差し出す研究者と企業の関係という、二重の足元を照らしました。脆弱性は技術で塞げても、それを誰がどう扱うかという「作法」は、信頼でしか支えられません。AIが発見の速度を押し上げるこれからこそ、その信頼をどう編み直すかを、innovaTopia は読者のみなさんと一緒に見つめていきたいと考えています。
