Windows未修正ゼロデイ「BlueHammer」のPoC公開、Defenderの更新処理を悪用した権限昇格

2026年4月14日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「Windows Defenderが入っているから安心だと思っていたのに、そこが狙われるなんて…」
「ゼロデイ脆弱性のPoCが公開されたって聞いたけど、自社のPCは大丈夫？」

チップス

ボス！
Windowsのゼロデイ脆弱性がSNSで話題になってるでしゅ！
「BlueHammer」っていう名前みたいなんでしゅけど、うちの会社のPCも危ないんでしゅか！？

ボス

ああ、BlueHammerか。
Windows Defenderの更新処理を逆手に取った権限昇格の手口だ。
防御機能そのものが攻撃の踏み台にされるという、厄介な脆弱性だな。

2026年4月、Windowsに未修正のゼロデイ脆弱性「BlueHammer」が公開され、セキュリティ業界に衝撃が走っています。
Windows Defenderという”守りの要”が、権限昇格の突破口になりうるという深刻な問題です。
この記事では、BlueHammerの技術的な仕組みと、今すぐ実施すべき対策を解説します。

Windows Defenderの署名更新処理にTOCTOU競合とパス混乱の脆弱性が存在
一般ユーザーからSYSTEM権限への昇格が可能で、SAMデータベースの窃取も確認
Microsoftは未パッチ、Defenderの検知シグネチャもリコンパイルで回避可能

パッチ未提供の今、自社環境を守るために何ができるのか、具体的に見ていきましょう。

BlueHammer公開の経緯と影響範囲

2026年4月3日、「Chaotic Eclipse」を名乗るセキュリティ研究者が、Windowsのローカル権限昇格ゼロデイ脆弱性のPoCを公開しました。

研究者がPoCを公開した背景

公開の背景には、Microsoftのセキュリティレスポンスセンター（MSRC）への不満があります。
研究者は脆弱性を事前に報告していましたが、MSRCの対応方針に納得できず、PoCの公開に踏み切りました。
脆弱性アナリストのWill Dormann氏も、この脆弱性がTOCTOU競合とパス混乱を組み合わせた本物の脅威であると認めています。

CVE番号はまだ未割り当て（2026年4月13日時点）
Windowsクライアント版で動作確認済み、Server版では効果が限定的
Microsoftは正式なパッチを未提供
Defenderの検知シグネチャは、PoCをリコンパイルするだけで回避される

チップス

パッチもないし、Defenderの検知も回避されるでしゅか…。
それじゃ今のところ丸腰ってことでしゅか！？

ボス

正直、シグネチャだけでは防ぎきれない状態だ。
ただし、ローカルアクセスが前提の攻撃だから、入口対策の徹底が効く。
慌てず、やるべきことを積み上げていくんだ。

BlueHammerの攻撃手法と対策

BlueHammerが厄介なのは、Windowsの正規機能を5つ連鎖させて権限昇格を実現している点です。

5つのWindows正規機能を悪用する仕組み

攻撃の起点は、Windows Defenderの署名更新プロセスです。
Defenderが更新時に作成するVSS（ボリュームシャドウコピー）スナップショットと、ファイルロック機構であるOplock（Opportunistic Lock）を悪用します。
具体的には、Defenderがスナップショットを作成してから排他制御を確立するまでの「隙間」を突く手口です。

攻撃ステップ	悪用されるWindows機能
Defender更新プロセスの監視	署名更新メカニズム
スナップショット作成の隙を捕捉	VSS（ボリュームシャドウコピー）
ファイルロックで時間稼ぎ	Oplock（Opportunistic Lock）
パス混乱でSAMデータベースにアクセス	Cloud Files API
NTLMハッシュを窃取しSYSTEMに昇格	Pass-the-Hash

SAMデータベースには、ローカルアカウントのパスワードハッシュが格納されています。
これを窃取されれば、マシン全体の完全な制御権を奪われます。

パッチ未提供の今、実施すべき緩和策

BlueHammerはローカルアクセスが前提の攻撃です。
つまり、攻撃者がPCに直接触れるか、別の脆弱性で侵入した後に使われる手口になります。
以下の多層防御で、悪用リスクを大幅に下げられます。

リモートアクセス経路（RDP・VPNなど）の認証を多要素認証に強化する
既知の脆弱性を速やかにパッチ適用し、初期侵入経路を潰す
EDR製品でSAMデータベースへの異常アクセスを監視する
POSやキオスク端末など、物理アクセスされやすい端末のアクセス制御を見直す

チップス

ローカルアクセスが必要ってことは、まず侵入されないようにするのが大事なんでしゅね。
うちの会社、RDPの設定とか見直さないとでしゅ…。

ボス

そうだ、その調子だ。
ゼロデイだからといって何もできないわけじゃない。
入口を固め、異常を検知する体制を整えておけば、被害は防げる。

まとめ

BlueHammerは、Windows Defenderの更新処理というごく日常的な動作に潜む脆弱性です。
Microsoftのパッチ提供を待つだけでは不十分で、ローカルアクセスの制限、多要素認証の導入、EDRによる監視といった多層防御が欠かせません。
特にPOS端末やキオスクなど物理的にアクセスされやすい環境を持つ企業は、早急な対策をおすすめします。
Microsoftからの正式パッチが公開されたら、速やかに適用しましょう。

セキュリティフリーランス案件を見る

よかったらシェアしてね！