一般的にこのタイプの攻撃では、次のような手順が使われます。
公開されたアドバイザリでは詳細なエクスプロイト手法は公開されていませんが、この種類の脆弱性はWindowsの特権昇格チェーンで頻繁に利用される手法として知られています。
公開情報では具体的な技術詳細は限定的ですが、攻撃が成功すると次のような影響が考えられます。
DefenderはWindowsのリアルタイム保護の中核を担うため、このような停止が起きると**攻撃者が検知されずに活動する時間的な“隙”**が生まれる可能性があります。
主な根拠は次の通りです。
ただし公開時点では、エクスプロイトコードや侵害指標(IOC)、被害組織の詳細などは公開されていません。
この問題はWindows本体ではなくMicrosoft Defenderのコンポーネントに関連しているため、影響は主にDefenderのエンジンやプラットフォームのバージョンに依存します。
影響を受ける可能性がある環境の例:
公開されたアドバイザリでは、次のバージョンより前が影響を受けるとされています。
重要な点として、Defenderのエンジン更新はWindowsの累積アップデートとは別に更新されるため、Windows UpdateだけではなくDefenderのコンポーネントバージョンを直接確認する必要があります。
2026年には、**Nightmare‑Eclipse(Chaotic Eclipse)**と呼ばれる攻撃者または研究者がMicrosoft関連のゼロデイを連続公開しているとセキュリティ研究者が報告しています。
ただし現在公開されている情報では、CVE‑2026‑41091やCVE‑2026‑45498がこのキャンペーンと直接関係する証拠は確認されていません。現時点では、Defenderを狙う脆弱性攻撃の流れの中で発見された可能性が示唆されている程度です。
Windows環境を運用している組織や管理者は、これらの脆弱性を優先度の高いパッチ対象として扱うべきです。
推奨される対応:
すぐにパッチを適用できない場合は、ローカルアクセスの制限、最小権限の徹底、エンドポイント保護状態の監視などでリスクを抑えることが推奨されます。
Defenderのようなエンドポイント保護ソフトは、Windowsの深い部分で高い権限を持って動作します。そのため、ファイル処理やサービスの設計に問題があると、攻撃者にとって強力な足掛かりになる可能性があります。
今回の更新は、セキュリティツールそのものも攻撃対象になり得るという現実を改めて示しています。企業環境では特に、Defenderのプラットフォームとエンジン更新が確実に配布されているかを確認することが重要です。