Nightmare-EclipseによるWindowsゼロデイ6連投：MSRCへの報復が生んだ未曽有のセキュリティ危機

エクスプロイトの概要とパッチ状況

2026年5月下旬の時点で、6つの脆弱性のうち3つは修正されましたが、残る3つは未解決のままです。中でもMiniPlasmaは、最も直接的な運用リスクをもたらしています。

MiniPlasmaが特に危険なのは、2026年5月時点の全アップデートが適用されたシステム上で、一般ユーザーがSYSTEMレベルの権限を取得できてしまう点です 。この脆弱性は、BlueHammerが標的としたのと同じcldflt.sys（Cloud Filesドライバ）を悪用しており、マイクロソフトが2020年に「修正済み」としていた過去の脆弱性（CVE-2020-17103）を再トリガーする形で実現されています。研究者は、マイクロソフトがこの問題に完全なパッチを当てていなかったと主張しています 。

研究者の動機：MSRCへの抗議

研究者は、一連の公開をMSRCによる「不当な扱い」への報復であると明確に述べています。公開された声明や報道によると、これまでに行った非公開の脆弱性報告が却下されたり、対応が遅かったり、研究者にとって過剰だと感じる要求——動画によるエクスプロイトの実演提出を求められたとも報じられています——を受けたことに不満を募らせていました 。研究者の主張として繰り返し引用されているのは、MSRCが「私の人生を台無しにすると脅し、実際にそうした」という言葉です 。

後半のリリースが月例パッチの翌日に合わせて行われたことは、露出とプレッシャーを最大化するための明確な戦略でした。YellowKeyとGreenPlasmaは5月の月例パッチ直後の5月12日に、MiniPlasmaは5月17日に公開されています 。

マイクロソフトの対応と「法的脅威」

5月27日、マイクロソフトは「共有された責任：協調的な脆弱性開示を通じてお客様を保護する（A shared responsibility: Protecting customers through coordinated vulnerability disclosure）」と題するブログ記事を公開しました 。この記事では、

• 6つのエクスプロイト全てが「責任ある開示がなされなかった」と言及 。
• セキュリティコミュニティに対し、「協調的脆弱性開示（Coordinated Vulnerability Disclosure、CVD）」の慣行に従うよう強く要請。
• 同社のデジタル犯罪ユニット（DCU）による、武器化された公開には法的措置がありうるという、暗にほのめかした警告を含めました 。

このマイクロソフトの言葉は対立を激化させましたが、根本的な問題は解決していません。つまり、3つのゼロデイ脆弱性が未修正のまま放置されたのです。コードがホストされていたプラットフォーム側も、5月23日頃にGitHubが、その数日後にGitLabが、研究者のアカウントを停止する措置を取りました 。

現実の悪用と公的機関の警鐘

4月中旬までには、最初の3つのDefenderエクスプロイト全てが現実に悪用されている状況が確認されました。HuntressとBarracudaは、GitHub上の公開リポジトリから直接PoCコードを入手し、ロシアに地理位置情報が関連付けられたインフラを利用する脅威アクターの存在を特定しています 。

CISAの反応は迅速でした。BlueHammerは4月22日にKEVカタログに追加され、連邦政府機関に対し5月6日までのパッチ適用期限が設定されました 。RedSunとUnDefendも後に追加され、6月3日が期限となりました 。これらの措置は、セキュリティツールそのものが攻撃経路と化した場合、従来の防御モデルが根本から崩壊するという深刻な懸念を反映しています。

コミュニティの反応：壊れた情報開示プロセス

サイバーセキュリティコミュニティの反応は二分されました。

研究者への批判は、BarracudaやThreatLocker、LevelBlueなどから上がりました。彼らはこのキャンペーンを「危険で逆効果」と評しました 。パッチが存在しない状態で武器化されたエクスプロイトを公開することは、企業ユーザーを即座に危険にさらす行為だからです。

マイクロソフトへの批判も同様に鋭いものでした。多くの研究者は、MSRCのプロセスがより誠実で迅速なものであれば、この事態全体が回避できたはずだと指摘しています。今回の連続公開は、遅いトリアージ（初期対応）、不透明なコミュニケーション、企業の報奨金制度の枠に収まらない発見者に対する敵対的な姿勢など、長年にわたる不満を再燃させました 。

注目すべき皮肉な構図として、マイクロソフトが未修正のエクスプロイトを3つも抱えながら法的措置をちらつかせたことは、評論家から「パフォーマンスに過ぎず、優先順位を誤っている」と呼ばれました 。

今後はどうなるか

研究者は沈黙したわけではありません。GitHubやGitLabでのアカウント停止後、個人ブログに活動の場を移し、次の月例パッチの日である7月14日に、さらなる大量公開を行うと明示的に脅迫しています 。この脅迫の信憑性は不明ですが、パターンはすでに確立されています。

セキュリティチームにとって、当面の最優先事項は明確です。Defenderの緊急パッチを適用し、YellowKeyの緩和策（WinREイメージのBootExecuteレジストリ値から autofstx.exe エントリを削除し、BitLockerで「TPM+PIN」保護を有効にする）を実施し 、MiniPlasmaを公式な修正手段のない現実の脅威として警戒することです。今後の月例パッチのタイミングに合わせた追加のPoCリリースを監視し、攻撃者が組織的に標的としているDefenderコンポーネントに対する代替的な防御策を準備することが求められます。

Nightmare-Eclipseの一件は、単に6つの脆弱性の問題にとどまりません。それは、プラットフォームベンダーと、彼らが依存する研究者との関係性を試す「ストレステスト」なのです。その関係が破綻したとき、結果は公共のものとなり、誰もが悪用可能で、極めて深刻なものとなるのです。