Windowsに未修正ゼロデイ脆弱性「BlueHammer」 正規機能の組み合わせでSYSTEM権限を奪取：セキュリティニュースアラート

Windowsの未修正ゼロデイ脆弱性「BlueHammer」のPoCが公開された。Defender更新処理の仕組みを悪用することで、一般権限からSYSTEM権限へ昇格できる恐れがある。パッチ未提供であるため、既存の検知を回避する可能性があるため注意が必要だ。

[ITmedia エンタープライズ編集部，ITmedia]

　「Windows」環境において、本来はシステムの安全を保証するはずの正規機能を組み合わせ、最高位のSYSTEM権限を不正に奪取する未修正のゼロデイ脆弱（ぜいじゃく）性「BlueHammer」の存在が明らかとなった。

　2026年4月、この脆弱性の概念実証（PoC）コードが公開された。公開当初のコードは動作の安定性に課題があったものの、その後、複数の研究者によってコードの修正と再現性の確認が進められ、実環境における権限昇格の極めて高い実用性が裏付けられている。

正規機能を悪用する権限昇格の脅威

　このゼロデイ脆弱性は、「Windows Defender」（以下、Defender）の更新処理に関わる複数の機能の連携に起因する「設計上の不備」に起因する。具体的に、ボリュームシャドーコピー（VSS）やクラウドファイル機能、機会的ロック（Oplock）など、Windows標準の仕組みが組み合わさることで成立する。単一の不具合ではなく、特定の条件下で挙動が重なることにより、保護対象のデータへアクセス可能な状態が生じる。

　攻撃の特徴は、Defenderの更新処理を意図的に誘発し、シャドーコピーの生成中に処理を停止させる点にある。この操作によって、本来はOSによって厳重にロックされているレジストリーファイルへのアクセスが可能となる。攻撃者はここからローカルアカウントの認証情報を抽出し、まずは管理者権限を奪取する。それを足掛かりにSYSTEM権限による任意操作を可能にする。

　取得された情報には、ローカルアカウントのパスワードハッシュが含まれる。これを復号することで認証情報を再利用し、管理者としてログインできる。また、「サービス作成機能」などを悪用し、強い権限でコマンド実行が可能となる。一連の攻撃プロセスには、実行後にシステムを元の状態へ戻す操作も含まれており、痕跡が残りにくい構造だ。

　この攻撃はカーネルの脆弱性やメモリ破壊を必要とせず、既存の仕組みの挙動を利用する点に特徴がある。そのため、従来のシグネチャベースによるウイルス検知では対応が極めて困難だ。PoC公開後にMicrosoftは特定の実行ファイルを検知対象に加える更新をしたが、攻撃コードのわずかな改変によって検知を回避できることが、複数の研究者によって指摘されている。

　現時点で修正プログラムは提供されておらず、根本的な対策は確立されていない。攻撃にはローカル環境へのアクセスが前提となるが、認証情報の窃取や他の脆弱性の悪用により、その条件は現実的に成立し得ると指摘されている。公開された実証コードは不完全ながらも再現性が確認されており、今後は攻撃として利用される可能性がある。

　防御側には、挙動ベースの監視強化が求められる。通常想定されないシャドーコピーの列挙やクラウドファイル機能の登録操作、低権限プロセスによるサービス生成などの監視が有効とされる。また、管理者アカウントのパスワード変更と短時間での復元が連続して発生する事象も、注視すべき兆候といえる。

　本事例は、個々の機能に問題がなくとも、組み合わせによって新たなリスクが生じる可能性を示している。近年の攻撃は単純な脆弱性の利用にとどまらず、システム設計の隙間を突く傾向が強まっている。今回の事案は、そうした変化を象徴するものといえる。