Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
Windowsの権限昇格を許す未修正の脆弱性「BlueHammer」のエクスプロイトコードが、MSRCの対応に憤った研究者の手で公開された。SYSTEM権限まで一気に駆け上がれる代物だ。なぜ、研究者は内部告発に近い形で武器を世に放ったのか。
Windowsの権限昇格を許す未修正の脆弱性「BlueHammer」のエクスプロイトコードが、MSRCの対応に憤った研究者の手で公開された。SYSTEM権限まで一気に駆け上がれる代物だ。なぜ、研究者は内部告発に近い形で武器を世に放ったのか。
SYSTEM権限まで届く未修正の穴
事態はいま、まさに進行している。ある研究者がWindowsのローカル権限昇格を可能にする未修正のゼロデイを、動作するエクスプロイトコードごとGitHubに置き去りにした。コードネームは「BlueHammer」。BleepingComputerが2026年4月6日に報じた。
この脆弱性を突けば、攻撃者はローカルアカウントからSYSTEM権限あるいは管理者相当の権限を奪える。Microsoftにはすでに私的に報告済みだが、現時点でパッチは存在しない。Microsoft自身の定義に照らせば、これは紛れもないゼロデイだ。
公開したのは「Chaotic Eclipse」を名乗る人物。GitHub上では「Nightmare-Eclipse」のアカウントで2026年4月3日にリポジトリを立ち上げた。本人は自身のブログにこう書き残している。
https://github.com/Nightmare-Eclipse/BlueHammer
マイクロソフトに対するハッタリではなかった。今回もまた、やる。前回までと違って動作の解説はしない。お前ら天才なら、自分で解き明かせるだろう。
挑発と諦めが入り混じった、奇妙な温度の文章だ。
TOCTOUとパス混同という古典の合わせ技
技術的な中身についても、第三者検証が動き出している。Tharros(旧Analygence)の主任脆弱性アナリストWill Dormann氏がBleepingComputerに対し、エクスプロイトが実際に機能することを認めた。
Dormann氏の説明によれば、この欠陥はローカル権限昇格(LPE)であり、TOCTOU(time-of-check to time-of-use)とパス混同を組み合わせた構造を持つ。
攻撃が成立すると、ローカル攻撃者はパスワードハッシュを格納するSAM(Security Account Manager)データベースへ手を伸ばせる。
ここから先は、もはや一本道だ。SAMにアクセスできれば、攻撃者は事実上そのマシンを所有しているに等しい。Dormann氏自身、SYSTEM権限のシェルを生成することすら可能だと述べている。
その時点で攻撃者は基本的にシステムを掌握しており、SYSTEM権限のシェルを起動するようなこともできてしまう。
TOCTOUもパス混同も、Windowsセキュリティ史で何度も繰り返されてきた古典的な落とし穴だ。新奇な攻撃手法ではない。それでも2026年の今なお、この組み合わせがSYSTEMへの扉を開けてしまう——その事実こそが、本当の問題なのかもしれない。
サーバーでは「ほぼ刺さらない」という現実
ただし、この脆弱性は万能の魔法の杖ではない。Chaotic Eclipse自身も、PoCコードには動作を不安定にするバグが含まれていると認めている。
実際、複数の研究者がWindows Serverで試したところ成功率はゼロだったとの報告も上がっている。
Dormann氏はMastodon上で、Server環境ではBlueHammerは権限を「非管理者から昇格管理者へ」引き上げるだけで、SYSTEMまでは届かないと補足している。昇格管理者になるには、ユーザーが完全な管理権限を要する操作を一時的に承認する必要があるため、サイレントな攻撃にはなりにくい。
つまりリスクの中心はクライアント側、特に普通のWindowsを使う一般ユーザーや企業のエンドポイントということになる。地味だが、被害の射程としてはむしろこちらの方が広い。ローカル攻撃を要するからといって、リスクが小さいとは言えない。攻撃者はソーシャルエンジニアリング、別のソフトウェアの脆弱性、認証情報窃取など、ローカルへの足がかりを得る手段を山ほど持っている。「ローカル限定だから安心」という言い訳は、もはや通用しない時代になっている。
なぜ、研究者はキレたのか
そして、この事件の核心は技術ではなく、人間関係の方にある。Chaotic Eclipseはブログの末尾で、MSRCのリーダーシップとTom Gallagher氏に「心からの感謝」を捧げている。文脈を踏まえれば、これは皮肉以外の何物でもない。
研究者はGitHubのリポジトリ説明でも、Microsoftの対応への不信感をにじませた。決定の裏にあった計算が本当に知りたい、こうなることを知っていながら、なぜあのやり方を貫いたのか——怒りというより、徒労感に近い問いかけだ。
なぜここまでこじれたのか。Dormann氏の見立ては興味深い。MSRCに脆弱性を提出する際の要件のひとつにエクスプロイト動作の動画提出があり、これが報告者の負担を押し上げているのではないか、という指摘だ。
報告のハードルを上げれば、確かにMicrosoft側は雑な報告を弾きやすくなる。ただしその裏で、誠実な研究者ほど消耗していく。今回の流出は、その制度疲労が一線を越えた瞬間に見える。
Dormann氏自身もMastodonで、より直接的な見方を投げている。
かつてMSRCは、極めて仕事のしやすい相手だった。だがMicrosoftはコスト削減のため熟練者を解雇し、フローチャートに従う担当者だけを残した。
熟練者を切ってフローチャートだけ残せば、誠実な報告も雑な報告も、同じ手順で同じ場所に流される。研究者が燃え尽きるまでの時間は、確実に短くなる。
「責任ある開示」が壊れていく音
Microsoftはこの件についてBleepingComputerからの問い合わせに、現時点で回答していない。沈黙それ自体が、ひとつの態度ではある。
考えるべきなのは、これがChaotic Eclipse個人の暴発で終わる話なのか、それとも何かの始まりなのか、という点だ。研究者と巨大ベンダーの間にある「責任ある開示」という暗黙の契約は、双方の信頼によってかろうじて成立している。報告しても無視される、修正されない、説明もない——そう感じた研究者が増えれば、ゼロデイは静かにブログとGitHubへ流れ出していく。
次のWindows月例パッチは2026年4月14日だ。BlueHammerがそこに含まれるのか、含まれないのか。いずれにせよ、本当に怖いのはSAMでもSYSTEMでもない。怒れる研究者がボタンひとつで攻撃コードを世界に放てる、その近さの方だ。
参照元
他参照
関連記事
- KB5086672がインストールできない不具合と対処法
- Windows 11、24H2ユーザーに25H2への強制アップデートを開始
- Teamsの「外部デバイス連携」が6月末で完全終了――影響範囲は想像以上に広い
- Windowsセキュリティに「セキュアブート」警告が表示される理由と、6月の期限前に知っておくべきこと
- Windows 11のセキュアブート更新が失敗する――CA-2023が暴いたファームウェアの構造的欠陥
- Windows認証の「時限爆弾」――4月のKerberos変更で何が壊れるのか
- Copilot新版、Edge丸ごと同梱でRAM消費10倍に
- Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
- Microsoftがエンジニア全員にストップウォッチを配っていた時代の教訓
- LinkedInが拡張機能6000件超を密かにスキャン──個人情報筒抜けか
