Windows Centralは6月30日(米国時間)、「A critical exploit bypasses Microsoft Defender in Windows 11 and Windows 10 - so much for "everyday risk protection without additional software"|Windows Central」において、Windows 11およびWindows 10のMicrosoft Defenderから保護を回避できる重大な脆弱性が発見されたと報じた。

この脆弱性はセキュリティ研究者のChaotic Eclipse(別名:Nightmare-Eclipse)氏により発見された。同氏はMicrosoftと対立関係にあることで知られており、前回に引き続きMicrosoftによる修正を待たず6月10日に脆弱性が公開された。

  • Microsoft Defenderについて保護回避の脆弱性が公開された

    Microsoft Defenderについて保護回避の脆弱性が公開された

脆弱性の概要

この脆弱性は研究者により「RoguePlanet」と名付けられている。競合状態を利用した権限昇格の脆弱性とされ、攻撃に成功するか否かは運次第とされる。

エクスプロイトの動作試験を実施した研究者によると、成功率には極端な偏りがあり、成功するデバイスでは常に成功し、失敗するデバイスでは動作しないという。

公開されたエクスプロイトのテスト環境は、6月のセキュリティ更新プログラムを適用したWindows 11およびWindows 10とされる。これ以前のビルドバージョンへの影響は未発表だが侵害可能と推測される。

なお、このエクスプロイトはWindows Serverでは動作しない。しかしながら、脆弱性自体はWindows Server上のMicrosoft Defenderにも存在し、エクスプロイトを再設計することで侵害可能と評価されている。

Microsoftは修正プログラムを開発中

Microsoftは6月16日、脆弱性を認め「CVE-2026-50656」として追跡していることを明らかにした。対策状況については次のように述べている。

「この脆弱性に対処する高品質なセキュリティアップデートを提供するために取り組んでいます。アップデートが利用可能になり次第、このCVEで情報を提供します」

本稿執筆時点において、更新プログラムは存在せず、回避策も提供されていない。また、同社は「悪用される可能性が高い」と述べ、Microsoft Defenderで保護されたWindowsデバイスは危険な状態にあるとしている。

Microsoft Defenderを巡る議論も再燃

Windows Centralは、本件についてMicrosoftが2026年4月に公開した「Microsoft Defenderだけで十分」とする検証記事との関連を指摘している。

Microsoftは当時、一定の条件を満たす環境ではMicrosoft Defenderだけで十分な保護が得られるとする検証結果を公開し、サードパーティー製セキュリティソフトは必須ではないとの見解を示していた。

しかし、今回のゼロデイ脆弱性ではMicrosoft Defenderの保護を回避できることから、Windows Centralは当時の主張に疑問が生じたと指摘している。少なくとも更新プログラムが提供されるまでは、「Microsoft Defenderだけで十分」とする考え方は見直しが必要になるとの見方を示した。

なお、本稿執筆時点では、Microsoftが2026年4月に公開した検証記事は削除されており閲覧できない。削除理由は公表されておらず、この件との関連も明らかになっていない。