2026年5月18日、「MiniPlasma」と名付けられたWindowsの権限昇格ゼロデイ脆弱性が報じられた。セキュリティ研究者ナイトメア・エクリプスは2026年5月、実証コード(PoC)をGitHub上で公開し、完全にパッチを適用したWindowsでもSYSTEM権限を取得できると主張している。
この欠陥はクラウドフィルタードライバー「cldflt.sys」のHsmOsBlockPlaceholderAccessルーチンを標的とする。同ルーチンは2020年9月にGoogle Project Zeroの研究者ジェームズ・フォーショーがMicrosoftに報告したもので、MicrosoftはCVE-2020-17103として2020年12月のパッチチューズデーで修正したとされる。しかしナイトメア・エクリプスは、当初の実証コードに変更を加えずとも同じ問題が悪用可能だとしている。
研究者は脆弱性がすべてのWindowsバージョンに影響するとみているが、第三者による検証は主に最新版のWindows 11で行われた。検証では、標準ユーザーアカウントからSYSTEM権限のコマンドプロンプトを起動できることが確認された。
From: 
New Windows ‘MiniPlasma’ Zero-Day Let Attackers Gain SYSTEM Access – PoC Released
【編集部解説】
「すでに直したはずの欠陥が、約6年後にそのまま残っていた」── 今回のニュースの核心は、ここにあります。MiniPlasmaは新発見のバグというより、過去の修正が機能していなかった可能性を突きつける「回帰(リグレッション)」の事案と見られています。
そもそも権限昇格(Privilege Escalation)とは何か。Windowsには、一般ユーザーよりも上位の「SYSTEM」という最上位の権限が存在します。OSの中枢を操作できる権限であり、ここを奪われると、そのPCは事実上、攻撃者のものになります。MiniPlasmaは、ごく普通の標準ユーザーアカウントから、この最上位権限へ一足飛びに到達してしまう手口です。
注意したいのは、これが「侵入の入口」ではないという点です。攻撃者が外部から直接PCに侵入できるわけではありません。フィッシングメールや不正なアプリなど、何らかの方法ですでに足場を築いた攻撃者が、被害を一気に拡大させるための「増幅装置」として使われます。CSO Onlineが伝える専門家の見解でも、この種の欠陥は単独では成立せず、システム内での横展開(ラテラルムーブメント)を前提とすると指摘されています。それゆえ、ランサムウェア攻撃などの場面で価値が高い部品と考えられます。
技術的な舞台は「cldflt.sys」、つまりクラウドファイルのミニフィルタードライバーです。OneDriveの「ファイルオンデマンド」のように、クラウド上のファイルをローカルにあるかのように見せる仕組みを支える、Windowsの深部にある部品です。このドライバーがレジストリキーを作る際、本来必要なアクセスチェックのフラグを指定し損ねている ── これがフォーショー氏が2020年に報告した欠陥の正体でした。
影響範囲については、慎重に受け止める必要があります。研究者ナイトメア・エクリプス氏はすべてのWindowsバージョンが影響を受けるとみていますが、第三者による動作検証は主に最新の公開版Windows 11で確認されている段階です。「全Windowsに影響」という見出しは、現時点では研究者の見立てであり、確定情報ではない点を押さえておきたいところです。
数字の扱いについても、一点お伝えします。元記事はCVSSスコアに触れていませんが、NVD(米国国立脆弱性データベース)を確認すると、NISTがこの脆弱性を「7.8(高)」と評価した一方、Microsoftは自社評価で「7.0」としていました。両者は攻撃の難易度の見積もりが異なっており、同じ欠陥でも評価機関によって深刻度の見方が分かれていたという事実は、今回の「修正が不十分だった可能性」を考えるうえで示唆的です。
では、なぜ修正が「効かなかった」のか。ここは現時点で断定できません。研究者ナイトメア・エクリプス氏自身も、Microsoftが修正しなかったのか、あるいは何らかの理由で巻き戻したのか「分からない」と明言しています。Microsoftも公式な原因分析は公表しておらず、「調査中」との立場です。カーネルモードのコードは、わずかな見落としでも穴が残るほど修正が難しい領域であり、テストの完全性を担保することの困難さが、この回帰の背景にあると見るのが妥当でしょう。
公開のタイミングにも、考えるべき論点があります。報道によれば、研究者はMicrosoftの5月パッチチューズデーの翌日にPoCを公開しました。これは、組織が次の月例更新まで公式の修正を受け取れない「空白期間」を最大化する選択でもあります。研究者の意図が「Microsoftへの圧力」なのか「無責任な暴露」なのかは評価が分かれるところで、脆弱性開示のあり方をめぐる議論そのものを映し出しています。
長期的な視点で見れば、これは一企業の不手際にとどまる話ではありません。ソフトウェアが巨大化・複雑化するなかで、「一度直したはずの欠陥が、別の更新によって静かに復活する」というリグレッションは、業界全体の構造的な課題です。私たちが日々受け取るアップデートが、過去の修正をすべて保持し続けている保証はない ── その可能性をMiniPlasmaは可視化しました。
なお、SecurityWeekの報道によれば、Microsoftの広報担当者は「報告を調査中で、顧客を保護するため適切な対応を取る」とコメントしています。最新のInsider Preview Canary版では同じ手口が通用しなかったとの分析もあります。読者の皆さんは、過度に不安を感じる必要はありませんが、次の更新を確実に適用する習慣の大切さを、改めて意識しておきたいところです。
【用語解説】
ゼロデイ脆弱性
修正パッチが提供される前の段階で、攻撃に利用可能な状態にある脆弱性のこと。防御側に「対応できる日数(ゼロデイ)」が残されていない状態を指す。
権限昇格(Privilege Escalation)
攻撃者が、本来与えられている権限よりも高い権限を不正に取得すること。Windowsでは標準ユーザーから最上位の「SYSTEM」権限への昇格が典型例だ。
SYSTEM権限
WindowsにおけるOS中枢を操作できる最上位の権限。これを奪われると、その端末は事実上、攻撃者の完全な支配下に置かれる。
PoC(実証コード/概念実証)
脆弱性が実際に悪用可能であることを証明するために作成されたコードやプログラム。研究目的で公開される一方、攻撃者に転用される危険性も併せ持つ。
cldflt.sys(クラウドファイル ミニフィルタードライバー)
クラウド上のファイルをローカルに存在するかのように扱う仕組みを支えるWindowsのカーネルモードドライバー。OneDriveの「ファイルオンデマンド」機能などの基盤となっている。
レジストリ / .DEFAULTハイブ
Windowsの設定情報を格納するデータベースがレジストリ。「.DEFAULTハイブ」はその一区画で、通常は標準ユーザーが書き込み権限を持たない領域である。
競合状態(レースコンディション)
複数の処理が同時に進行する際、実行のタイミングのわずかなずれを突いて、想定外の動作を引き起こす攻撃手法。MiniPlasmaはこの仕組みを悪用している。
パッチチューズデー
Microsoftが毎月第2火曜日にまとめて提供する月例セキュリティ更新プログラム。多数の脆弱性修正が一括で配信される。
CVE / CVE-2020-17103
公開された脆弱性に世界共通で割り当てられる識別番号がCVE。CVE-2020-17103は、今回の問題の元となった2020年報告の脆弱性を指す。
CVSSスコア
脆弱性の深刻度を0〜10の数値で示す国際的な評価指標。数値が高いほど危険度が高いとされ、NVD(米国国立脆弱性データベース)などに登録される。
回帰(リグレッション)
一度修正されたはずの不具合が、その後の更新などによって再び現れてしまう現象。今回の事案の本質的な論点である。
ラテラルムーブメント(横展開)
攻撃者がネットワーク内に侵入した後、隣接する端末やシステムへ被害を広げていく動き。権限昇格は、この動きを加速させる手段となる。
【参考リンク】
Microsoft(外部)
WindowsやOneDriveを開発・提供する米国のソフトウェア企業。本件の脆弱性が存在するOSの開発元であり、修正パッチの提供主体である。
Microsoft Security Response Center(MSRC)(外部)
Microsoftのセキュリティ対応部門。脆弱性情報の受付、CVE管理、月例更新の公開などを担う公式窓口である。
NVD(CVE-2020-17103詳細ページ)(外部)
NISTが運営する脆弱性データベース。本件の元脆弱性のCVSS評価(NIST 7.8 / Microsoft 7.0)が登録されている。
Google Project Zero(外部)
Googleが運営するセキュリティ研究チーム。各社製品のゼロデイ脆弱性を発見・報告し、本件の元脆弱性も2020年に報告した。
OneDrive(外部)
Microsoftが提供するクラウドストレージサービス。問題となったcldflt.sysはOneDriveの同期機能を支える基盤コンポーネントである。
GitHub(MiniPlasmaリポジトリ)(外部)
研究者ナイトメア・エクリプスがPoCを公開したコード共有プラットフォーム上のページ。公開後、数百のスターを獲得した。
【参考記事】
New Windows ‘MiniPlasma’ zero-day exploit gives SYSTEM access, PoC released(BleepingComputer)(外部)
パッチ適用済みWindows 11 Proで実機検証し、標準ユーザーからSYSTEM権限取得を確認。Canary版での不発も伝える記事。
‘Patched’ Windows bug resurfaces 6 years later as working SYSTEM-level exploit(CSO Online)(外部)
NIST評価7.8とMicrosoft評価7.0という深刻度評価の食い違いを伝える記事。専門家の見解も紹介している。
Researcher Drops MiniPlasma Windows Exploit for Unpatched 2020 CVE(SecurityWeek)(外部)
CVSSスコア7.0を明記し、Microsoft広報の「調査中」コメントとCanary版での不発分析を掲載した記事。
CVE-2020-17103 Detail(NVD/米国国立脆弱性データベース)(外部)
本件の元脆弱性の公式登録ページ。NIST評価とMicrosoft評価のCVSSスコアが併記されている。
MiniPlasma Windows 0-Day Enables SYSTEM Privilege Escalation on Fully Patched Systems(The Hacker News)(外部)
6年前と同一の問題が未修正のまま残っているという研究者の主張を中心に、経緯を整理した記事。
Windows ‘MiniPlasma’ zero-day Exploit Publicly Disclosed(InfoSecBulletin)(外部)
別エクスプロイト「GreenPlasma」の調査過程で当該ルーチンに着目した経緯を伝える記事。
【関連記事】
BitLockerをUSB一本で破るPoC公開——CVD制度を「報復の道具」にした研究者と、沈黙するMicrosoft
今回のMiniPlasmaと同一の研究者(Chaotic Eclipse)による前回のPoC公開を報じた記事。一連の「報復型ゼロデイ公開」シリーズの背景と動機を深く掘り下げており、本記事の前提として必読。
Linux OverlayFS脆弱性CVE-2023-0386、CISAがアクティブ悪用を確認し緊急警告
「修正済みのはずの脆弱性が長期にわたり悪用され続ける」というパッチ管理の課題を扱った記事。MiniPlasmaの「回帰」問題と同じ構造的テーマで参照できる。
【編集部後記】
「アップデートしておけば安心」── 私たちは無意識に、そう信じてきたのではないでしょうか。今回のMiniPlasmaは、その前提に小さな問いを投げかけてきました。直したはずの修正が、いつの間にか消えているかもしれない。それは決して珍しい現象ではなく、複雑化したソフトウェアが抱える宿命のようなものなのかもしれません。
とはいえ、悲観する話ではないと思っています。こうして研究者が問題を可視化し、メディアが伝え、Microsoftが対応に動く ── この循環こそが、セキュリティという営みを前に進める力です。みなさんにできることは、決して難しくありません。次の更新を確実に適用すること、そして「自分の端末は誰の権限で動いているのか」を、ときどき気にかけてみること。その小さな習慣を、私たちも一緒に続けていけたらと思います。
