不満を募らせた研究者がWindowsゼロデイ「BlueHammer」を公開、パッチ未提供

Windowsパソコンを使っている人にとって、「セキュリティ更新プログラム」は毎月のように届く見慣れた通知でしょう。しかし今回は、その更新プログラムがまだ存在しない脆弱性が、攻撃コードとともに公開されるという異例の事態が起きました。「不満を抱いた研究者がWindowsゼロデイ「BlueHammer」のエクスプロイトを公開」とBleepingComputerが報じたこの問題は、単なる技術的な脆弱性にとどまらず、セキュリティ研究者とIT大手企業の関係に潜む構造的な課題を浮き彫りにしています。

「BlueHammer」で何ができてしまうのか

BlueHammerは、Windowsのローカル権限昇格の脆弱性を突くエクスプロイトです。簡単に言えば、パソコン上の一般ユーザーが、本来は管理者にしか許されていない操作を行えるようになってしまいます。

技術的には、TOCTOU（チェック時と使用時の競合状態）とパス混乱という2つの手法を組み合わせています。TOCTOUとは、システムが「この操作は安全か？」と確認した瞬間と、実際にその操作を実行する瞬間の間にすり替えを行う攻撃です。鍵を確認した直後にドアの向こう側が入れ替わるようなもの、と考えるとわかりやすいでしょう。

この攻撃が成功すると、Windowsがローカルアカウントのパスワード情報を保管しているSAM（セキュリティアカウントマネージャー）データベースにアクセスできます。そこから最高権限であるSYSTEM権限を奪取し、マシン全体を完全に乗っ取ることが可能になります。セキュリティ企業Tharsos（旧Analygence）の主任脆弱性アナリスト、ウィル・ドーマン氏が実際にエクスプロイトの動作を確認し、「その時点で攻撃者はシステムを掌握し、SYSTEM権限のシェルを起動できる」と述べています。

ただし、この攻撃にはパソコンへのローカルアクセスが必要です。インターネット経由で直接攻撃されるわけではありません。とはいえ、フィッシングメールや他のソフトウェアの脆弱性を踏み台にしてローカルアクセスを得る手口は一般的であり、現実的なリスクは決して低くありません。

なぜ研究者は公開に踏み切ったのか

通常、セキュリティ研究者が脆弱性を発見した場合は、まず開発元に非公開で報告し、修正パッチが提供されてから情報を公開する「協調的脆弱性開示」が業界の標準的な慣行です。今回、Chaotic Eclipseというハンドルネームの研究者がこの慣行を破った背景には、Microsoftの対応への強い不満がありました。

研究者は4月3日にGitHubでエクスプロイトコードを公開し、「Microsoftをハッタリで脅しているわけではなかった。また同じことをする」と宣言しました。さらに「今回は仕組みの説明はしない。天才の皆さんなら自分で解読できるでしょう。MSRCのリーダーシップに大いに感謝する」と皮肉を込めています。

研究者の怒りの矛先は、Microsoftのセキュリティ対応部門であるMSRC（マイクロソフトセキュリティレスポンスセンター）に向けられています。研究者によると、MSRCは脆弱性報告の際にエクスプロイトの動画デモ提出を求めており、これが研究者コミュニティで批判を集めています。文書による説明やスクリーンショットだけでは受理されにくい状況は、報告者に余分な負担を強いるものです。

さらに研究者は、Microsoftが経験豊富なセキュリティ人材を解雇し、決められた手順書に従うだけのスタッフに置き換えたことで、MSRCの対応品質が大幅に低下したと指摘しています。

Microsoftの対応と現在の状況

2026年4月7日時点で、Microsoftはこの脆弱性に対する修正パッチを提供していません。CVE番号（脆弱性の識別番号）も割り当てられていない状態です。Microsoftは「報告されたセキュリティ問題を調査し、できるだけ早く影響を受けるデバイスを更新してお客様を保護することを約束している」とする声明を出しましたが、具体的な対応時期には言及していません。

なお、公開されたPoCコードにはバグが含まれており、Windows Serverでは正常に動作しないことが確認されています。Windows Serverでは権限昇格の範囲が限定的で、完全なSYSTEM権限の奪取ではなく、管理者権限の昇格にとどまるとされています。