
Microsoftのパッチが新たなリスクを生む?#
セキュリティパッチを適用したら、別の問題が生まれた――そんな事態がWindows Defenderで起きている。
この記事でわかること:
- ゼロデイ脆弱性「RoguePlanet(CVE-2026-50656)」とは何か
- Microsoftが配布した修正パッチの問題点
- ディスク枯渇攻撃の仕組み
- MicrosoftとセキュリティリサーチャーNightmareEclipseの対立の経緯
約6分で読めます。
この記事を読むことで、今回のパッチをめぐるリスクの全体像を把握できます。
【結論】重要ポイント4選#
忙しい読者のために、まず核心をまとめる。
- MicrosoftはWindows Defenderのゼロデイ脆弱性CVE-2026-50656を修正するパッチを配布した
- このパッチに含まれる追加のセキュリティ強化機能が、ディスクを完全に埋め尽くす新たな問題を引き起こす可能性がある
- 攻撃にはSMBサーバー(ファイル共有プロトコル)を使った特殊なセットアップが必要
- MicrosoftとリサーチャーNightmareEclipseの対立は現在も続いている
詳細は以降のセクションで解説する。
RoguePlanet(CVE-2026-50656)とは?#
このセクションでは、今回の脆弱性の基本を整理する。
RoguePlanetは、CVE-2026-50656として管理されているWindows Defenderのゼロデイ脆弱性だ。
ゼロデイ脆弱性とは、ベンダーが修正パッチを提供する前に公開・悪用される脆弱性のことを指す。
この脆弱性は2026年6月に公になった。
公開したのは、NightmareEclipseという匿名のリサーチャーだ。 公開時には悪用コード(エクスプロイトコード)も同時に公開された。
この脆弱性の深刻さは以下の点にある。
- Windows 10およびWindows 11が対象
- リアルタイム保護が無効化されていても、リモート攻撃者がマシンの管理者権限を取得できる
NightmareEclipseはこれ以外にも複数のゼロデイ脆弱性を公開しており、Microsoftはその都度対応を迫られてきた。
では、Microsoftが配布した修正パッチにはどのような問題があるのか。次のセクションで見ていく。
パッチの問題点:ディスク枯渇リスクの仕組み#
このセクションでは、今回のパッチが引き起こす可能性のある新たな問題を解説する。
Microsoftが配布したパッチの内容#
Microsoftは水曜日に、RoguePlanetを修正するアップデートを配布した。
更新の対象は、Defenderが使用する**Microsoft Malware Protection Engine(マルウェア保護エンジン)**だ。
このパッチは自動的にダウンロード・インストールされる。ユーザーの手動操作は不要だ。
パッチには脆弱性の修正に加え、「セキュリティ関連機能を改善するための防御強化アップデート(defense-in-depth updates)」も含まれた。
防御強化機能が生む新たなリスク#
NightmareEclipseは翌木曜日に投稿を公開し、この防御強化機能に問題があると指摘した。
問題の核心は以下のとおりだ。
新たに追加されたミティゲーション(緩和策)が、mpengine.dllというドライバーに問題を引き起こす。このドライバーは、一部のファイルを開こうとする際に8バイトのデータをリークする場合がある。
mpengine.dllとは、Microsoft Malware Protection Engineに関連するドライバーファイルだ。
さらに、SpyNetという機能も問題に関与している。
SpyNetとは、Microsoft Security EssentialsやForefront Endpoint Protectionが疑わしいソフトウェアの情報をMicrosoftに送信するクラウドサービスだ。
Defenderには本来、スキャンや検疫時にディスクへ書き込めるファイルサイズの上限が設けられている。これは、巨大なファイルを検疫しようとするとディスク領域を使い尽くしてしまうためだ。
しかしNightmareEclipseによると、Zone.Identifier ADSファイルに対してはこの制限が機能しないという。
Zone.Identifierとは? Windowsがインターネットからダウンロードされたファイルや、メール・外部ソースで受信したファイルに自動的に関連付ける隠しメタデータファイルだ。代替データストリーム(ADS)とも呼ばれる。ファイルの出所やセキュリティゾーンを記録する役割を持つ。
リサーチャーはこう述べている。
「SpyNetの関連機能は、Zone.Identifier ADSファイルのローカルコピーをどうしても保持しようとする。ファイルのサイズに関係なく、Windows Defenderはそれをキャッシュしてしまう。」
次のセクションでは、攻撃者が具体的にどのようにこの問題を悪用できるかを整理する。
攻撃の手順:SMBサーバーを使ったディスク枯渇の仕組み#
このセクションでは、攻撃シナリオの技術的な概要をソース情報に基づいて整理する。
NightmareEclipseが示した攻撃の概要は以下のとおりだ。
SMB(Server Message Block)とは、Windowsネットワーク上でファイルを共有するための通信プロトコルだ。
攻撃者はこのSMBを利用して、以下のようなシナリオでディスクを枯渇させる可能性がある。
- 悪意のあるカスタムSMBサーバーを用意する
- そのSMBサーバーが、悪意のあるファイル(リサーチャーはmimikatz実行ファイルを例として挙げた)を提供するよう設定する
- さらに、非常に大きなADSファイル(例:mimikatz.exe:Zone.Identifier)も同時に提供するよう設定する
- Windows Defenderがファイルの読み取りリクエストを送った際、ある時点でSMBサーバーが応答を返さず、接続だけを維持し続ける
- この結果、Defenderがハングアップしてファイルをロックし続け、ディスク領域全体を占有し続ける状態になる
NightmareEclipseはこう述べている。
「マシンがクラッシュするわけではないが、ディスクが満杯になるとWindowsは正常に動作しなくなる。複数のアプリやサービスがランダムにクラッシュする。」
Microsoftはこの問題の存在について、記事公開時点では確認を取れていないとArs Technicaは報じている。
なぜこの問題が重要か:Windowsユーザーへの影響#
このセクションでは、一般ユーザーにとってこの問題がどう関係するかを整理する。
この問題が特に注目される理由は以下のとおりだ。
- パッチを当てたことで新たなリスクが生まれたという点で、セキュリティの難しさを示す典型的な事例だ
- パッチは自動配布されるため、ユーザーが意識せず適用されている
- ディスクが満杯になるとアプリやサービスが不安定になる可能性がある
- 攻撃には特殊なセットアップ(カスタムSMBサーバー)が必要であり、誰でも簡単に実行できるものではない
ただし、Microsoftがこの挙動を公式に認めたという情報は、ソース記事の時点では確認されていない。
MicrosoftとNightmareEclipseの対立の経緯#
このセクションでは、今回の問題が生まれた背景にある両者の対立を整理する。
MicrosoftとNightmareEclipseの対立は少なくとも5月から続いている。
経緯をまとめると以下のとおりだ。
- NightmareEclipseが非公開で報告した脆弱性を、Microsoftが告知なしにひそかに修正した
- これに反発したリサーチャーは、Microsoftがパッチを提供する前に複数の脆弱性の詳細とエクスプロイトコードを公開した
- Microsoftはリサーチャーが「責任ある開示を行っていない」と公に非難し、法的措置の可能性を示唆した
- この対応が公からの反発を受け、Microsoftは法的措置は取らないと表明した
- そして今回の木曜日の投稿は、対立がいまだ解消されていないことを示している
セキュリティリサーチャーとベンダーの関係は、業界全体のセキュリティ向上に深く関わる問題だ。この対立の行方は引き続き注目に値する。
まとめ:今回の件で押さえるべきポイント#
今回のWindows DefenderパッチとCVE-2026-50656について、重要な点を再確認する。
| 項目 | 内容 |
|---|---|
| 脆弱性名 | RoguePlanet(CVE-2026-50656) |
| 影響OS | Windows 10 / Windows 11 |
| リスク | リモートから管理者権限を取得可能 |
| パッチ配布方法 | 自動(ユーザー操作不要) |
| パッチの新たな問題 | ディスク枯渇の可能性 |
| 攻撃に必要なもの | カスタムSMBサーバー |
| Microsoftの公式確認 | 記事時点では未確認 |
パッチは自動適用済みのユーザーがほとんどのはず。 今後Microsoftがこの新たな問題に対してどのような対応をとるか、公式発表を注視しておくことをお勧めする。
詳細は元記事(Ars Technica)を参照してほしい。
FAQ:よくある疑問に答える#
Q. このパッチは手動でインストールする必要がある? A. いいえ。Microsoftは自動でダウンロード・インストールされると説明している。
Q. Windows 7や古いOSは影響を受ける? A. ソース記事ではWindows 10とWindows 11が対象として言及されている。その他のOSについては詳細は元記事を参照。
Q. ディスク枯渇攻撃は一般ユーザーが受けやすいもの? A. NightmareEclipseによると、攻撃にはカスタムSMBサーバーを用意するなど特殊なセットアップが必要とのことだ。
Q. Microsoftはこの新しい問題を認めている? A. Ars Technicaによると、記事公開時点でMicrosoftは確認に応じていない。




