脅威アクターが、最近開示された3件のWindows脆弱性を悪用し、SYSTEM権限または管理者権限の取得を狙う攻撃を展開している。
「Chaotic Eclipse」「Nightmare-Eclipse」の名で知られる研究者が、Microsoft Security Response Center (MSRC)の開示プロセスへの抗議として、今月初頭から3件のPoCコードを公開した。BlueHammerとRedSunはMicrosoft Defenderのローカル権限昇格の欠陥であり、UnDefendは標準ユーザー権限で同製品の定義更新をブロックする。
Huntress Labsは木曜日、3件すべての実環境での悪用を確認したと報告し、BlueHammerは4月10日以降悪用されている。MicrosoftはBlueHammerをCVE-2026-33825として2026年4月の更新でパッチ適用済みだが、RedSunとUnDefendは未対応。RedSunはWindows 10、Windows 11、Windows Server 2019以降に影響する。
From: 
Recently leaked Windows zero-days now exploited in attacks
【編集部解説】
本件の核心は、「守るべきアンチウイルスそのものが、攻撃者の踏み台になっている」という皮肉な構図にあります。Microsoft Defenderは、Windows 10以降で広く標準搭載・利用されているエンドポイント防御機能であり、極めて広範な利用基盤を持つエンドポイント防御ソフトの一つです。その内部ロジックの欠陥が、逆に権限昇格の”てこ”として利用されてしまっている点に、事態の重みがあります。
技術的な中身を平易に説明すると、BlueHammer(CVE-2026-33825)は、Microsoft Defenderの脅威対処や更新関連の処理フローに存在する、TOCTOU(Time-Of-Check to Time-Of-Use)と呼ばれる競合状態を突くものです。プログラムが「ファイルを確認した瞬間」と「実際にそのファイルを操作する瞬間」のあいだの極めて短い時間差に、攻撃者が別のファイルをすり替えて差し込むイメージです。
一方のRedSunは、クラウド同期されたファイル(OneDriveなどで使われるCloud Files API)にマルウェア検知が走ったとき、Defenderが”親切にも”元の場所にファイルを書き戻す挙動を悪用し、ディレクトリジャンクションでリダイレクトさせることで、SYSTEM権限プロセスに任意のシステムファイル(例:TieringEngineService.exe)を上書きさせてしまいます。なお、このRedSunは4月のパッチチューズデー適用後のWindows環境でも依然として有効であると報告されています。
3つ目のUnDefendは少し毛色が異なり、権限昇格ではなくDefenderの定義更新を妨害する”サービス拒否型”の攻撃です。最新定義が届かないDefenderは、日々生まれる新種マルウェアを見逃す可能性が高まり、防御側の目を徐々に曇らせていくことになります。BlueHammer・RedSunで権限昇格や足場固めを行い、UnDefendでDefenderの更新や検知能力を妨害することで、これら3件は組み合わせ次第で一連の攻撃チェーンとして機能しうる点に、今回の公開の戦術的な”悪質さ”があります。
Huntress Labsが指摘した「hands-on-keyboard(ハンズオンキーボード)」という表現も押さえておきたい論点です。これは自動化されたマルウェアではなく、生身の攻撃者がキーボードを叩きながらコマンドを実行している痕跡を意味します。whoami /privやcmdkey /list、net groupといった、Active Directory環境の地形を人間が手探りしている形跡が観測されており、ばらまき型ではなく”標的を決めて入り込んできている”タイプの攻撃であることを示唆しています。
初期侵入の入口として報告されているのが、侵害されたSSLVPNアカウントです。Huntressの追加レポートでは具体的にFortiGate VPNが挙げられています。つまりこの事案は、「Defenderの脆弱性」という一点の話ではなく、「認証情報漏えい → VPN経由で侵入 → Defender脆弱性で権限昇格 → 横展開」という、企業ネットワーク全体の弱い鎖を順番に辿っていく現代的な攻撃の縮図になっています。
もう一つ、メディアとして踏み込んでおくべき視点が、この騒動の引き金となった「研究者と企業の関係性」の問題です。今回の公開は、研究者がMSRCの対応に不満を抱いての抗議的リークという性格を強く持っています。実際、Microsoftが同脆弱性について公式クレジットで謝辞を示したのはNightmare-Eclipseではなく、別の研究者であるゼン・ドッド氏とユアンペイ・シュー氏でした。ここに、「先に報告したのに評価されない」という研究者側の認識と、「責任ある開示(coordinated vulnerability disclosure)を維持したい」というMicrosoftの立場のすれ違いが浮かび上がります。
責任ある開示の枠組みは、ユーザー保護と研究者の貢献承認を両立させるために業界が長年かけて築いてきた仕組みです。その信頼の網に齟齬が生じたとき、結果として一般ユーザーが危険にさらされる——今回の事案は、バグバウンティや開示プロセスの運用が、技術的問題であると同時に”人間関係の問題”でもあることをあらためて突きつけています。将来的には、ベンダー側により透明性の高い進捗共有や、研究者の貢献を適切に可視化する仕組みが求められていくでしょう。
ポジティブな側面も指摘しておきます。BlueHammerについては公開からわずか11日でパッチが配布されており、Microsoftの対応スピード自体は決して遅いものではありません。またHuntressの報告によれば、Windows Defender自体もBlueHammerを初期段階で検知・ブロックしたことが確認されており、防御機構が単独で崩壊したわけではありません。攻撃者はDefenderの検知を織り込み済みでRedSunへと手口を切り替えた形跡があり、単一ツールに頼らない多層防御と、人手によるSOC監視の重要性があらためて浮き彫りになっています。
個人利用者の観点では、Windows Updateを速やかに適用すること、そしてフィッシングや認証情報の使い回しへの警戒を一段上げることが当面の現実解です。企業のIT管理者にとっては、VPNアカウントの棚卸しと多要素認証の徹底、そしてDefender単体に依存しないEDR/MDRとの併用が、今回の事例が突きつける宿題と言えます。
【用語解説】
SYSTEM権限 / ローカル権限昇格(LPE)
SYSTEMはWindowsにおける最上位のアカウント権限で、OSのあらゆるファイルやサービスを操作できる。ローカル権限昇格とは、低い権限のユーザーがこのSYSTEM権限など、より高位の権限を不正に取得する攻撃手法を指す。
PoC(概念実証コード)
Proof of Conceptの略。脆弱性が実際に悪用可能であることを示すために書かれた実証用コード。本来は研究目的だが、公開されると攻撃者に流用されるリスクを伴う。
CVE
Common Vulnerabilities and Exposuresの略で、公表された脆弱性に世界共通の番号を付与する識別体系。
TOCTOU(競合状態)
Time-Of-Check to Time-Of-Useの略。プログラムが何かを「確認する時点」と「利用する時点」の間に生じるわずかな時間差を攻撃者が突き、対象物をすり替える脆弱性クラスである。
Cloud Files API
Windowsがクラウドストレージ(OneDrive、Dropboxなど)と連携してファイルをオンデマンド同期するための仕組み。
ディレクトリジャンクション
NTFSファイルシステムにおいて、あるフォルダへのアクセスを別の場所へ転送するシンボリックリンク的な機能。攻撃者がこれを仕込むことで、本来書き込み不可の場所への操作を誘導できる。
Hands-on-keyboard
自動化されたマルウェアではなく、人間の攻撃者がリアルタイムにキーボード操作でコマンドを実行している状態を指すセキュリティ業界用語。
SSLVPN
SSL/TLSを用いてインターネット経由で社内ネットワークに安全に接続する仕組み。在宅勤務や出張時の業務接続に広く使われる。
パッチチューズデー
Microsoftが毎月第2火曜日に定期的にセキュリティ更新プログラムを一括配信する運用慣行の通称。管理者が更新適用の計画を立てやすくする目的で続けられている。
EDR / MDR
EDRはEndpoint Detection and Responseの略で、端末上の不審な挙動を検知・記録・対応する仕組み。MDRはManaged Detection and Responseの略で、それを外部の専門家チームが24時間監視・対応する運用形態を指す。
【参考リンク】
Microsoft Security Response Center (MSRC)(外部)
Microsoftのセキュリティ対応部門の公式サイト。脆弱性報告窓口や月例アップデートの案内を提供。
Microsoft Security Update Guide(外部)
Microsoft製品のセキュリティ更新情報を一元検索できる公式ポータル。CVE番号や製品名から詳細に到達可能。
Microsoft Defender 公式ページ(外部)
Microsoft Defenderファミリーの製品情報を紹介する公式サイト。個人向けから企業向けXDRまで網羅。
Huntress 公式サイト(外部)
今回の悪用事例を公表したマネージドセキュリティベンダー。脅威インテリジェンス事例を随時公開している。
BleepingComputer(外部)
サイバーセキュリティ分野の国際的なニュースメディア。脆弱性やランサムウェア動向を速報性高く報じる。
Fortinet 公式サイト(外部)
初期侵入に悪用されたFortiGate SSLVPN製品を提供するセキュリティ企業。PSIRTで脆弱性情報を公開している。
【参考記事】
Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched(外部)
The Hacker Newsによる続報。BlueHammerが4月10日、RedSunとUnDefendが同16日から悪用された時系列を整理している。
Researcher drops two more Microsoft Defender zero-days, all three now exploited in the wild(外部)
Help Net Securityの補足記事。謝辞対象がZen DoddとYuanpei XuでありNightmare-Eclipseではないと明らかにしている。
Attackers Love Your VPN To-Do List(外部)
Huntress自身による一次レポート。侵入経路がFortiGate VPN、Defenderが初期にBlueHammerを検知・ブロックした事実を記録している。
BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-day Vulnerability Explained(外部)
Picus Securityの技術解説。BlueHammerのCVSSスコア7.8(High)、13日間で複数ゼロデイが開示された期間パターンを指摘。
RedSun Zero-Day: When Defender Becomes the Delivery Mechanism(外部)
Cyderesによる戦術分析。研究者が18日間で3ツール公開、GitHubアカウントは3月27日作成という経緯を踏み込んで扱う。
CVE-2026-33825: Local Privilege Escalation via TOCTOU in Microsoft Defender Signature Updates (BlueHammer)(外部)
CVEReportsの技術レポート。BlueHammerの根本原因がMpSigStub.exe内のTOCTOU競合状態、CWE-1220に分類されると詳述。
RedSun and UnDefend Zero-Day Exploits Hit Defender(外部)
Ampcus Cyberの詳細分析。RedSunの根本原因がMpSvc.dllのリパースポイント検証欠如、UnDefendの2動作モードを解説している。
【編集部後記】
ふだん何気なく信頼しているアンチウイルスが、視点を変えれば攻撃者の”足場”にもなりうる——今回の件は、そんな皮肉を私たちに見せてくれました。みなさんは、セキュリティツールを「入れた」ところで安心してしまっていませんか。パスワードの使い回しや、眠ったままのVPNアカウントに心当たりはないでしょうか。研究者と企業の関係が崩れたとき、そのしわ寄せが一般ユーザーに及ぶ構図についても、ぜひ周囲の方と共有していただけたら嬉しく思います。
