Dark Readingが伝えているのは、Windowsの脆弱性公開がまだ終わっていない、というかなり重たい話です。
Microsoftが毎月まとめて行う修正日は「Patch Tuesday」と呼ばれます。簡単に言うと、Windowsの不具合やセキュリティ問題を定期的に直す“月例メンテ日”です。ところが、その直後にまた新しい穴が見つかる。しかも今回は1件ではなく3件。なかなか嫌なペースです。
この記事で中心になるのは、研究者「Nightmare Eclipse」が公開した3つの脆弱性です。
名前だけ見るとゲームのアイテムみたいですが、やっていることはかなり危険です。個人的には、この“かわいい見た目で中身は凶悪”みたいな命名が、逆に怖さを増している気がします。
YellowKeyは、暗号化されたWindowsノートPCを狙う脆弱性です。
BitLockerは、Windowsのドライブ暗号化機能です。ざっくり言うと、「PCを盗まれても、中身のデータはすぐ読めないようにする仕組み」です。企業でもかなり重要な防御線として使われます。
ところがLevelBlueによると、YellowKeyは物理アクセスとUSBデバイスがあれば、BitLockerの保護を無効化し、暗号化されたノートPCの中身にアクセスできてしまう可能性があるとのことです。
流れはこんな感じです。
怖いのは、認証情報やPIN、TPM回避が不要とされている点です。TPMは暗号鍵を安全に守るためのチップで、BitLockerの信頼の土台みたいなものです。それを迂回しなくてもダメージが出るなら、かなり厄介です。
ただし、ここは冷静に見たほうがよくて、YellowKeyは物理的に端末へ触れられることが前提です。つまり、遠隔で世界中のPCを一斉攻撃、というタイプではありません。とはいえ、盗難端末や社内の不正持ち出し、内部不正の文脈では十分に嫌な脅威だと思います。
GreenPlasmaは、Windows 10、Windows 11、Windows Serverに影響する脆弱性です。
ここで出てくる「SYSTEM権限」は、Windowsの中でもかなり強い権限です。ざっくり言うと、一般ユーザーよりずっと上の“管理者のさらに上”みたいな立ち位置です。これを取られると、攻撃者は端末の中でやりたい放題になりやすい。
LevelBlueによると、この脆弱性はWindowsのtext input servicesを管理するコンポーネントを悪用して、権限昇格、つまり低い権限から高い権限へ上がることを可能にするとのことです。
しかも、脆弱性が本当に悪用されると次のようなことにつながります。
横展開というのは、1台の端末を踏み台にして、社内のほかのPCやサーバーへ広がる動きです。攻撃者がよく使う、かなり現実的で嫌な手口です。
ただ、現時点のPoC(proof of concept、概念実証コード)はまだ最終的なSYSTEM到達までは行っていないそうです。つまり、公開されたコードをそのままポンと使って完全攻撃、という段階ではない。とはいえ、こういうものは時間の問題で詰められることが多いので、安心材料にはなりません。
SpiderLabsのKarl Sigler氏は、こうしたローカル権限昇格はソーシャルエンジニアリングと組み合わされがちだとコメントしています。ソーシャルエンジニアリングとは、技術ではなく人をだます攻撃です。たとえば、
といった流れです。個人的には、ここがいちばん現実的で怖いところだと思います。脆弱性単体より、「人をだます+脆弱性を突く」の合わせ技のほうが、実戦ではずっと強いからです。
MiniPlasmaは、かなり不気味です。対象は CVE-2020-17103。これは、2020年にGoogle Project ZeroがMicrosoftへ報告した権限昇格の脆弱性です。
Microsoftは当時修正パッチを出したはずなのですが、Googleの元のPoCがいまだに変更なしで動くとされています。Nightmare EclipseはそのPoCを武器化し、完全な制御を取れる形のエクスプロイトにした、と主張しています。
ここが一番ゾッとする部分かもしれません。普通、4〜6年前のパッチ済み脆弱性なら「もう終わった話」だと思いがちです。でも、現実にはそうならないことがある。パッチが出たことと、本当に安全になったことは、時に別問題なんですよね。
もしこの種の再利用が本当なら、企業側は「古いCVEだから安心」とは言えません。むしろ、古いけど油断すると刺さるタイプとして扱うべきでしょう。
Nightmare Eclipseがこの6週間で公開した残りの3件は次の通りです。
このうちBlueHammerは、Microsoft Defenderを攻撃者が逆利用できるような脆弱性だと説明されています。DefenderはWindows標準のセキュリティ機能ですが、その防御役を攻撃道具に変えられるなら、かなり話が変わります。
BlueHammerには Microsoft が正式にCVEを割り当て、CVE-2026-33825としてパッチを出したそうです。しかもCISAのKEV、つまりKnown Exploited Vulnerabilities Catalogにも載っています。これは「実際に悪用されている脆弱性の一覧」なので、かなり危険度が高いと見ていいでしょう。
一方でRedSunは、Nightmare EclipseによればMicrosoftがCVEなし・公開告知なしで静かに修正した可能性があるそうです。もし本当なら、かなり珍しい対応です。派手に発表すると混乱や悪用を招くこともあるので、沈黙対応が必ずしもおかしいとは言えませんが、透明性の面ではややモヤッとします。
UnDefendは、Microsoft Defenderの新しい脅威検知能力をじわじわ弱らせる脆弱性だったとされています。これもまた、単発の穴というより「防御力を削る」タイプなので、じわじわ効いてくるのが嫌です。
MicrosoftはDark Readingに対し、これらの「主張されている脆弱性」について有効性と影響範囲を調査中だとコメントしています。また、同社はcoordinated vulnerability disclosure、つまり「研究者が公開前にベンダーへ連絡し、修正の時間を与えるやり方」を支持しているとも述べています。
これは正論です。普通はそうやって、ユーザーを守りながら公開していくのが理想です。
でも今回は、Nightmare Eclipseがその流れを拒否し、Patch Tuesdayの直後に公開するスタイルを取っているのがポイントです。次の修正までの“空白期間”を最大化する狙いだ、とBarracudaのChristine Barry氏は見ています。
率直に言うと、このやり方はかなり攻撃的です。研究者の動機は外からは断定できませんが、少なくともベンダーにとっては最悪に近い展開でしょう。悪用される前に直したいMicrosoftと、先に世に出したい研究者の思惑が真正面からぶつかっている感じです。
この記事のいちばん大事なメッセージは、「パッチを当てれば終わり」ではない、ということだと思います。
ThreatLockerのKieran Human氏は、企業はパッチだけを前提に安全設計を組むべきではないと指摘しています。代わりに、次のようなdeny-by-defaultの考え方が重要だとしています。
allowlistingは、ざっくり言うと「知らないものは基本実行しない」です。防御としては地味ですが、かなり強いです。私はこれ、派手ではないけれど実務ではかなり効く守り方だと思います。
さらに、EDR(Endpoint Detection and Response、端末の監視・検知・対応ツール)は最後の砦と考えるべきだとも述べています。つまり、EDRがあれば万全、ではない。そもそも実行させない、広げさせない、権限を上げさせない。そういう予防線のほうがずっと重要です。
個人的に、このニュースが面白いというより「かなり本気で嫌だな」と思うのは、攻撃の種類がバラバラなのに、全部がWindows防御の要所を狙っている点です。
つまり、攻撃者は1つの穴を見つけて満足していない。守りの層そのものを順番に崩そうとしているわけです。
Windowsのパッチはもちろん重要です。ただ、それだけでは足りない。
この話は、企業も個人も「更新して終わり」ではなく、実行制御・権限管理・端末隔離まで含めて考えるべきだ、という警告だと思います。
