【セキュリティ】「最新の状態」なのに乗っ取られる ― Defenderゼロデイ RoguePlanet と CVE-2026-45657について

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ 概要欄 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 前回お届けした「Chromeゼロデイ＋Microsoft 6月パッチチューズデー」の続報です。 パッチチューズデーの公開からわずか数時間後、研究者Nightmare Eclipseが新たなゼロデイ実証コード「RoguePlanet」を公開しました。これは完全にパッチを当てたWindows 10／11でも、Microsoft Defenderの競合状態（TOCTOU）を悪用してSYSTEM権限を奪取しうるもので、現時点で専用パッチは存在しません。 一方、6月の修正に含まれていたCVE-2026-45657（CVSS 9.8）は、WindowsカーネルのTCP/IP処理にあるUse-After-Freeで、無認証・操作不要・遠隔でSYSTEM権限のコード実行が可能。Zero Day Initiativeは「ワーム化可能」と警告しています。 「パッチがあっても破られる」「パッチを当てる前に攻撃が来うる」――この2つを通じて、パッチ適用を基本としつつ、検知（EDR）と緩和（アプリケーション許可リスト・最小権限・多層防御）をどう重ねるかを、くりとグラが解説します。 ▼この動画で分かること ・RoguePlanetとは何か（完全パッチ済みでも危険な理由／ただしローカル権限昇格である点） ・TOCTOU競合状態とは（「銀行窓口で書類をすり替える」たとえで解説） ・パッチがない脆弱性への対処（アプリケーション許可リスト・EDR・最小権限） ・CVE-2026-45657の「ワーム化」リスクと、なぜ優先して当てるべきか ・脆弱性を「パッチの有無 × 悪用の有無」で4分類するトリアージの考え方 ※RoguePlanetはローカル権限昇格であり、攻撃者が事前に端末へ侵入していることが前提です（「ページを見ただけ」型の遠隔攻撃ではありません）。また競合状態を突くため成功率は環境により変動します。 ※CVE番号・件数（200件超、数え方により206〜208件）・各脆弱性の評価は、収録時点の公開情報に基づきます。最新の正確な情報はMicrosoft（MSRC）の公式アドバイザリでご確認ください。 ▼参考・出典 【RoguePlanet】 ・BleepingComputer「Microsoft Defender 'RoguePlanet' zero-day grants SYSTEM privileges」 https://www.bleepingcomputer.com/news... ・Dark Reading「Nightmare-Eclipse Drops Yet Another Microsoft Exploit, RoguePlanet」 https://www.darkreading.com/vulnerabi... ・Picus Security（TOCTOUの技術解説） https://www.picussecurity.com/resourc... 【CVE-2026-45657】 ・Zero Day Initiative「The June 2026 Security Update Review」 https://www.zerodayinitiative.com/blo... ・Microsoft Security Update Guide（CVE-2026-45657） https://msrc.microsoft.com/update-gui... ▼ハッシュタグ #RoguePlanet #ゼロデイ #WindowsDefender #カーネル脆弱性 #ワーム #脆弱性管理 #EDR #許可リスト #サイバーセキュリティ #情報システム