2026 年 6 月の Windows Update が配信された直後、Microsoft Defender に新たなゼロデイ脆弱性「RoguePlanet」が公開された。問題は、6 月 10 日付の Patch Tuesday をすべて適用した状態でも攻撃が成立する点だ。守りのために真っ先に当てたパッチを抜けて、エンドポイント防御本体が踏み台にされる、という構図になっている。
2026 年 6 月の MS パッチをすべて当てた Windows で Microsoft Defender のリアルタイムスキャン経由に細工ファイルを通すと、Defender 自身のプロセス特権で任意コードが走るとされる。Patch Tuesday 当日に PoC が出回ったため、防御側は事実上「修正のないゼロデイを抱えたまま週末を越える」状態に置かれた。
なぜ「防御側の本丸」が狙われるのか #
EDR/AV はファイル・通信・プロセスを片端から検査するため攻撃面が極端に広い。あらゆるフォーマットをパースさせる必要があり、しかも処理は SYSTEM 相当の高権限プロセスで動く。一般ユーザ権限で踏める脆弱性が一発でも見つかれば、SYSTEM への昇格と防御無効化を同時に達成できる。攻撃者から見れば「権限昇格・防御回避・永続化」を一発で取れる超高効率ターゲットで、Defender や他社 EDR は毎月のように研究対象になっている。
厄介なのは公開タイミングだ。Patch Tuesday 直後は管理者が検証で消耗し、臨時 KB をすぐ展開できる体制にない組織が多い。攻撃者はこの「修正サイクルの谷間」を狙う。
いま現実的に取れる対策 #
公式修正が来るまでは設定で攻撃面を絞るしかない。
- Defender のスキャン除外を最小限にし、信頼できない添付・アーカイブを開く操作は制限プロセス内に閉じ込める
- Attack Surface Reduction (ASR) ルールをブロックモードで適用し、Office マクロや LOLBins 経由の子プロセス生成を遮断する
- Defender のテレメトリ (検知ログ、
MpCmdRun.exeの異常終了) を SIEM に流し、Defender 自身が落とされる挙動を検知ルール化する
防御製品はそれ自体が攻撃対象になる、という前提を改めて織り込むべきだ。修正 KB が出たら最優先で当てつつ、当面はテレメトリと ASR で「Defender が殺される瞬間」を可視化しておきたい。
COMMENTS 0
No comments yet — be the first to leave one.