何が起きたのか
2026年4〜5月にかけて、Microsoft Defender Antivirusに3つのゼロデイ脆弱性が連続して発覚した。コードネームはそれぞれBlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)。この3つが攻撃チェーンとして組み合わされて実際の攻撃に悪用されていることをセキュリティ企業Huntressが確認した。
最大の問題は攻撃の構造にある。BlueHammerまたはRedSunでSYSTEM権限を取得した後、UnDefendでDefenderのウイルス定義更新を無効化する——この「権限昇格 → セキュリティ層の段階的な劣化」という組み合わせは、後続の攻撃活動(マルウェア展開・データ窃取・横展開)を検知されにくくするための戦略的な手順だ。
3つの脆弱性の詳細
BlueHammer(CVE-2026-33825)— SAMデータベースを使ったSYSTEM昇格
BlueHammerはMicrosoft Defenderのシグネチャ更新プロセスの競合条件(race condition)を悪用するローカル権限昇格(LPE)脆弱性だ。「Chaotic Eclipse」ハンドルの研究者が4月7日にPoCを公開し、1週間後の4月14日のPatch Tuesdayでパッチが提供された。しかし公開から1週間でBleepingComputerはすでに野放し悪用を観測しており、「PoC公開後即悪用」の典型例となった。
攻撃の仕組みは以下のとおりだ。
- オペレーションロック(oplock)を使いDefenderの動作を一時停止する
- シグネチャ更新をトリガーし、DefenderにSAM(Security Account Manager)データベースを出力ディレクトリにコピーさせる
- コピーされたSAMハイブをパースし、ユーザーのNTハッシュを復号する
- 全ユーザーのパスワードを一時的に新しいものに変更し、その認証情報で管理者セッションを生成する
- 管理者セッションからSYSTEM権限を取得する
SAMデータベースはWindowsユーザーの資格情報ハッシュを格納する重要ファイルであり、通常はSYSTEMとAdministratorsのみがアクセスできる。Defenderの信頼された権限を逆用してSAMを読み出させる点が巧妙だ。
RedSun(CVE-2026-41091)— システムファイル書き換えによるSYSTEM昇格
RedSunはBlueHammerと同様のLPE脆弱性だが、悪用メカニズムが異なる。CVSS 7.8のリンクフォロー(link-following)問題であり、存在しない「悪性ファイル」をDefenderが復元しようとする動作を悪用する。
攻撃の流れは以下のとおりだ。
- 攻撃者がDefenderに「指定パスの悪性ファイルを検疫して復元せよ」と命じる
- Defenderは「復元対象ファイル」が存在しないため、攻撃者のファイルをSystem32ディレクトリにコピーする(Defenderの高権限を利用)
- System32に配置されたファイルがSYSTEM権限のシェルを起動する
BlueHammerがデータ読み取りの信頼を悪用するのに対し、RedSunはファイル書き込みの信頼を悪用する。どちらも「セキュリティ製品が信頼されているがゆえに可能な操作」を踏み台にしている。
UnDefend(CVE-2026-45498)— 一般ユーザーがDefender更新を無効化
UnDefendはCVSS 4.0と数値は低いが、実際の攻撃チェーンでは極めて重要な役割を担う。標準ユーザー権限でMicrosoft Defenderのウイルス定義更新を停止させられる。
Defenderの定義ファイルが更新されなければ、新しいマルウェアシグネチャが追加されず、既存の検知ロジックも改善されない。攻撃者はSYSTEM権限取得後にUnDefendを使うことで、その後に展開するマルウェアや後続の攻撃ツールがDefenderに検知されにくい状態を維持できる。
技術的な解説
3つを組み合わせた「段階的劣化戦略」
Huntressはこの攻撃チェーンを「段階的劣化戦略(Layered Degradation Strategy)」と表現した。単一のエクスプロイトで終わりではなく、防御レイヤーを順番に崩していく構造になっている。
| ステップ | 使用する脆弱性 | 目的 |
|---|---|---|
| 1. SYSTEM権限取得 | BlueHammer または RedSun | OS上の全権限を取得し、後続操作のベースを作る |
| 2. Defender更新の無効化 | UnDefend | 定義更新を止め、後続マルウェアの検知率を低下させる |
| 3. 後続活動 | (各種マルウェア・RAT) | ランサムウェア展開・データ窃取・横展開・バックドア設置 |
セキュリティ製品そのものが攻撃面になる構造的問題
この3つの脆弱性が共通して示す問題は「セキュリティ製品が高い権限で動作するほど、その製品の脆弱性は致命的になる」という構造的なジレンマだ。
Defenderがシステムを保護するには、ファイルシステム・プロセス・ネットワーク・レジストリへの広範なアクセス権が必要だ。しかしその権限こそが、脆弱性を突かれた際の影響範囲を大きくする。Trend Micro Apex One CVE-2026-34926やFortiClient EMS CVE-2026-35616でも、セキュリティ製品が攻撃経路に変わった事例として解説した通り、これは業界全体の課題だ。
PoCの公開が悪用を加速した
BlueHammerはPoCコードが公開されてから1週間以内に野放し悪用が始まった。PoCの公開は防御側が対策を学ぶ機会を提供する一方、攻撃者にすぐに使えるエクスプロイトを提供することにもなる。Microsoftが翌週のPatch Tuesdayでパッチを提供したため修正版は入手可能だったが、「パッチが出てもすぐに適用できない組織」が現実には多く存在する。
Defender以外にBYOVDとの組み合わせリスク
BYOVD(Bring Your Own Vulnerable Driver)は脆弱な正規ドライバをロードしてカーネルレベルでEDRを無効化する手口だ(Fog ランサムウェアでも解説)。今回のUnDefendは「ユーザーランドからDefenderの定義更新を止める」という異なるアプローチだが、両者を組み合わせれば複数のセキュリティレイヤーを同時に無効化できる。
日本企業への影響
Windows Defenderは日本を含む世界中でデフォルトのエンドポイント保護として使われており、サードパーティのEDRを導入していない中小企業・中規模組織では唯一の防御線になっているケースも多い。
Defender自体を狙うこれらの脆弱性が悪用されると、以下のリスクが生じる。
- SYSTEM権限取得後にランサムウェアを展開される
- 定義更新が停止した状態でバックドアが維持される
- 攻撃者がSYSTEM権限でActive Directoryに対してDCSync攻撃を行い、組織全体のハッシュを窃取する
- UnDefendによる更新停止後、新型マルウェアが検知されない状態が続く
今すぐ確認すべきポイント
1. Defender Antimalware Platformのバージョンを確認する
MicrosoftはDefender Antimalware Platform バージョン 4.18.26040.7 でBlueHammerとRedSun、UnDefendの修正を提供している。以下のコマンドで現在のバージョンを確認できる。
# PowerShellで確認
Get-MpComputerStatus | Select-Object AMProductVersion, AMServiceVersion, AMEngineVersion
# 期待値: AMProductVersion が 4.18.26040.7 以降であること2. Defenderの自動更新が正常に機能しているか確認する
Defenderの定義更新・プラットフォーム更新が有効になっているかを確認する。UnDefendで更新が停止されていれば、そのエンドポイントは既に侵害されている可能性が高い。
# 定義ファイルの最終更新日時を確認
Get-MpComputerStatus | Select-Object AntivirusSignatureLastUpdated, AntispywareSignatureLastUpdated
# 通常は1日以内に更新されているはずだが、数日以上更新がない場合は要調査3. BlueHammerの悪用ログを調査する
BlueHammerは4月10日から悪用が観測されている。以下の痕跡を確認する。
- Defenderの隔離フォルダ・ログに異常なファイル操作の記録がないか
- 予期しないSAMデータベースのコピーやアクセスがないか(WindowsイベントID 4656・4663)
- 通常とは異なる管理者セッションの作成がないか(WindowsイベントID 4624 LogonType 3)
4. Windowsの自動更新とWSUSの設定を確認する
Defender Antimalware Platformはセキュリティインテリジェンス更新と別のチャネルで更新される。Windows UpdateおよびWSUS(Windows Server Update Services)でDefender Platformの更新が有効になっているかを確認する。一部のポリシーで「ドライバーの更新のみ除外」設定が誤ってPlatform更新も除外してしまうケースがある。
5. 標準ユーザー権限でのDefender設定変更をブロックする
UnDefendはCVSS 4.0とはいえ標準ユーザーが実行可能な点が問題だ。AppLockerやWDACで未署名ファイルの実行を制限し、攻撃ツールのロードを防ぐことがUnDefendの悪用を含む攻撃チェーン全体への対策になる。
6. 多層防御でDefenderのみへの依存を排除する
Defenderのみをエンドポイント保護として使っている場合、Defenderが無効化された際のフォールバックが存在しない。EDRの追加・ネットワーク異常検知・SIEMによるログ集約を組み合わせた多層防御の構築を検討する。
参考情報
- The Hacker News: Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched
- SecurityWeek: Microsoft Patches Exploited UnDefend and RedSun Defender Zero-Days
- BleepingComputer: New Microsoft Defender "RedSun" zero-day PoC grants SYSTEM privileges
- BleepingComputer: CISA orders feds to patch BlueHammer flaw exploited as zero-day
- The Hacker News: Microsoft Warns of Two Actively Exploited Defender Vulnerabilities
- CISA: Known Exploited Vulnerabilities Catalog(CVE-2026-41091, CVE-2026-45498)