Microsoft Defenderのゼロデイ脆弱性2件を緊急修正（CVE‑2026‑41091 / CVE‑2026‑45498）

Microsoftは2026年5月20日、Microsoft Defenderに存在する2件の脆弱性に対して緊急（アウトオブバンド）セキュリティ更新を公開しました。対象となったのは CVE‑2026‑41091 と CVE‑2026‑45498 で、どちらも公開時点で実際の攻撃で悪用されていたゼロデイです。

これらの脆弱性はWindowsに標準搭載されるエンドポイント保護機能であるDefenderに影響するため、企業ネットワークやサーバー環境でも影響範囲が広いと考えられています。また両CVEは、米国サイバーセキュリティ・インフラ安全保障庁（CISA）のKnown Exploited Vulnerabilities（KEV）カタログにも追加されました。

5月20日に修正されたDefenderのゼロデイ

CVE‑2026‑41091 — Microsoft Defenderの特権昇格（Privilege Escalation）

CVE‑2026‑41091は、Microsoft Defenderのリンク解決処理の不備（link‑following）に起因する脆弱性です。Defenderがファイルへアクセスする前にリンクを適切に検証しない場合、ユーザーが制御するシンボリックリンクなどを辿って想定外のファイル操作が行われる可能性があります。

Defenderは一部の処理を高い権限で実行するため、この挙動を悪用するとSYSTEM権限へのローカル特権昇格が可能になります。

主なポイント:

• 脆弱性タイプ: 不適切なリンク解決（link following）
• 影響: ローカルユーザーがSYSTEM権限を取得する可能性
• CVSS v3.1: 7.8（High）
• 攻撃条件: ローカル認証済みユーザーによる攻撃が必要

一般的にこのタイプの攻撃では、次のような手順が使われます。

• 攻撃者がシンボリックリンク、ジャンクション、またはリパースポイントを作成
• Defenderのファイル処理を意図的にトリガー
• 実際には保護されたシステム領域のファイル操作へリダイレクト

公開されたアドバイザリでは詳細なエクスプロイト手法は公開されていませんが、この種類の脆弱性はWindowsの特権昇格チェーンで頻繁に利用される手法として知られています。

CVE‑2026‑45498 — Microsoft Defenderのサービス妨害（DoS）

2つ目の脆弱性 CVE‑2026‑45498 は、Microsoft Defenderにサービス拒否（Denial‑of‑Service）状態を引き起こす可能性のある欠陥です。

公開情報では具体的な技術詳細は限定的ですが、攻撃が成功すると次のような影響が考えられます。

• Defenderコンポーネントのクラッシュ
• マルウェアスキャンの中断
• リアルタイム保護機能の一時停止

DefenderはWindowsのリアルタイム保護の中核を担うため、このような停止が起きると**攻撃者が検知されずに活動する時間的な“隙”**が生まれる可能性があります。

実際に悪用されている証拠

Microsoftはこれらの脆弱性がすでに現実の攻撃で利用されていることを認めています。

主な根拠は次の通りです。

• 両CVEがCISAのKEVカタログに追加された（実際の悪用が確認された場合のみ掲載）
• セキュリティメディアが、特権昇格とDoSの両脆弱性が攻撃に使用されていると報じている
• 脆弱性トラッカーでも**Actively Exploited（積極的に悪用）**として登録されている

ただし公開時点では、エクスプロイトコードや侵害指標（IOC）、被害組織の詳細などは公開されていません。

影響を受けるWindows環境

この問題はWindows本体ではなくMicrosoft Defenderのコンポーネントに関連しているため、影響は主にDefenderのエンジンやプラットフォームのバージョンに依存します。

影響を受ける可能性がある環境の例:

• Windows 11（Defenderが有効な端末）
• Windows Server環境
• Microsoft Malware Protection Engineを利用する企業端末

公開されたアドバイザリでは、次のバージョンより前が影響を受けるとされています。

• Malware Protection Engine: 1.1.26040.8 未満
• Defender Platform: 4.18.26040.7 未満

重要な点として、Defenderのエンジン更新はWindowsの累積アップデートとは別に更新されるため、Windows UpdateだけではなくDefenderのコンポーネントバージョンを直接確認する必要があります。

「Nightmare‑Eclipse」活動との関係

2026年には、**Nightmare‑Eclipse（Chaotic Eclipse）**と呼ばれる攻撃者または研究者がMicrosoft関連のゼロデイを連続公開しているとセキュリティ研究者が報告しています。

この活動は、Microsoftの脆弱性開示対応への不満が動機とされ、WindowsやDefender関連のエクスプロイトが複数公開されています。

ただし現在公開されている情報では、CVE‑2026‑41091やCVE‑2026‑45498がこのキャンペーンと直接関係する証拠は確認されていません。現時点では、Defenderを狙う脆弱性攻撃の流れの中で発見された可能性が示唆されている程度です。

推奨される対策

Windows環境を運用している組織や管理者は、これらの脆弱性を優先度の高いパッチ対象として扱うべきです。

推奨される対応:

• 2026年5月20日に公開されたDefenderプラットフォームとエンジンの最新更新を適用する
• Windows更新だけでなくDefenderの実際のバージョンを確認する
• マルチユーザー端末、サーバー、VDI、開発者端末を優先して更新
• Defenderのクラッシュやサービス再起動など異常な動作を監視する
• ユーザー書き込み可能ディレクトリでの不審なシンボリックリンクやリパースポイントを監視

すぐにパッチを適用できない場合は、ローカルアクセスの制限、最小権限の徹底、エンドポイント保護状態の監視などでリスクを抑えることが推奨されます。

なぜDefenderの脆弱性が重要なのか

Defenderのようなエンドポイント保護ソフトは、Windowsの深い部分で高い権限を持って動作します。そのため、ファイル処理やサービスの設計に問題があると、攻撃者にとって強力な足掛かりになる可能性があります。

今回の更新は、セキュリティツールそのものも攻撃対象になり得るという現実を改めて示しています。企業環境では特に、Defenderのプラットフォームとエンジン更新が確実に配布されているかを確認することが重要です。