Microsoft Defender RedSunゼロデイPoC公開とWindows Secure Boot証明書期限切れの緊急事態

今日のハイライト

本日はMicrosoft製品に関する2つの重大なインフラ脅威が同時に表面化しました。Windows標準セキュリティ製品であるDefenderのゼロデイ脆弱性（RedSun）のPoCが公開され、SYSTEM権限取得が可能となった一方、Windowsエコシステム全体の信頼基盤であるSecure Bootのオリジナル証明書が期限切れを迎え、史上最大規模のファームウェア更新作業が急務となっています。さらに、OT環境を標的とした新マルウェアZionSiphonの出現や、SaaS設定ミスを突いた大規模データ侵害（McGraw Hill）など、組織のセキュリティ体制を根本から揺るがす複数の事象が発生しています。

1. Microsoft Defender "RedSun" ゼロデイ脆弱性 PoC公開

概要

研究者「Chaotic Eclipse」氏により、Microsoft Defenderのローカル特権昇格（LPE）ゼロデイ脆弱性「RedSun」のPoCエクスプロイトが公開されました。最新の4月Patch Tuesday適用済みのWindows 10/11およびWindows Server環境で、Defenderが有効な状態で悪用可能です。

この脆弱性は、Defenderの「Cloud Files API」におけるファイル書き換え動作を悪用します。悪意あるファイルがクラウドタグを持つ場合、Defenderがそのファイルを「元の場所に書き戻す」という動作を、Oplock（オペレーションロック）による競合状態（race condition）とディレクトリジャンクション（reparse point）を組み合わせて悪用し、C:\Windows\system32\TieringEngineService.exeなどのシステムファイルを上書きします。これにより、攻撃者が用意した実行ファイルがSYSTEM権限で実行され、完全なシステム掌握が可能となります。

考察

実務対策：

• Defenderの無効化は推奨されません：Defenderを無効化することでこの特定の攻撃経路は塞げますが、リアルタイム保護や他のセキュリティ機能も失うため、リスク・ベネフィットのトレードオフが極めて悪化します。現時点では、Microsoftによる緊急パッチ（OOBリリース）のリリースを待つべきです。
• EDR/XDRの検知ルール強化：PoCはEICAR文字列を含むため、一部AVエンジンで検知されますが、暗号化されたバリアントでは検知を回避可能です。プロセス生成監視において、TieringEngineService.exeなどの通常はシステムにより生成されるべきプロセスが異常な親プロセスから生成される兆候を検知するルールの追加が有効です。
• 最小権限原則の徹底：この脆弱性はローカルアクセスを前提としたLPEであるため、標準ユーザー権限の厳格な運用と、Admin権限付与のJust-In-Time化により、初期侵入後の横展開を抑制できます。

技術的背景と脅威分析： 本脆弱性の根底にある「Cloud Files API」におけるファイル書き換えの設計欠陥は、セキュリティ製品が「検知・隔離」のプロセスでファイル操作を行う際の典型的な競合状態（TOCTOU: Time-of-check to time-of-use）問題です。特に注目すべきは、研究者がMicrosoft Security Response Center（MSRC）との関係悪化を理由に、責任ある開示プロセスを経由せずにPoCを公開した点です。「BlueHammer」（CVE-2026-33825）に続く2週間以内の2件目の公開であり、ベンダーと研究者間の信頼関係崩壊が直接的な脅威増大につながる事例として、業界全体が対応プロセスを見直す必要があるでしょう。

参照元

• New Microsoft Defender “RedSun” zero-day PoC grants SYSTEM privileges

2. Cisco ISEおよびWebexの4件の重大脆弱性パッチ

概要

Ciscoは、Identity Services Engine（ISE）およびWebex Servicesに影響する4件の重大な脆弱性に対するセキュリティパッチを発表しました。これらの脆弱性は、リモートコード実行（RCE）やサービス内でのユーザーなりすまし（impersonation）を可能とし、CVSSスコアは9.8に達するものも含まれます。エンタープライズ環境で広く使用されるID管理基盤とコミュニケーション基盤への攻撃は、組織全体の認証基盤を掌握する「キー盗難」に相当する重大性を持ちます。

考察

実務対策：

• 即時パッチ適用：Cisco ISEはネットワークアクセス制御（NAC）の中核であり、Webexはリモートコラボレーションの基盤です。これらの脆弱性は内部ネットワークへの侵入後、横展開や権限昇格に悪用される可能性が高いため、メンテナンスウィンドウを最短で設定し、パッチ適用を最優先すべきです。
• ネットワークセグメンテーションの再確認：ISEが侵害されると、ネットワーク全体のセグメンテーションルールが無力化されるリスクがあります。パッチ適用までの間、ISE管理インターフェースへのアクセスを管理VLANのみに厳格に制限し、多要素認証（MFA）を強制してください。
• SAML/SSO連携の監視：これらのサービスがIdP（Identity Provider）として機能する場合、なりすまし脆弱性を悪用された際の影響は組織全体に波及します。異常な認証トークン発行や、予期しない管理者権限の付与をSIEMでアラート設定してください。

技術的背景と業界動向： エンタープライズID管理基盤（ISE、Azure AD、Okta等）への攻撃は、現代のゼロトラストアーキテクチャにおいて「信頼の根幹」を破壊する戦略的標的となっています。特に、Cisco ISEのようなNAC製品は「デバイスが信頼できるものであるか」を判定する役割を担うため、そこに脆弱性が存在すると、ネットワーク上の全デバイスの信頼性が担保できなくなります。これは、従来の「ネットワーク境界防衛」モデルから「リソースベースアクセス制御」への移行を促進する動きと相反し、ID基盤自体の堅牢化が新たな課題として浮上していることを示唆しています。

参照元

• Cisco Patches Four Critical Identity Services, Webex Flaws Enabling Code Execution

3. Windows Secure Bootオリジナル証明書の期限切れ

概要

Microsoftが2011年に導入したWindows Secure Bootのオリジナル証明書（2011年発行、有効期限2026年4月）が期限切れとなりました。これはWindowsエコシステム全体に影響する「史上最大規模の協調的セキュリティメンテナンス」となり、UEFIファームウェア、ブートローダー、OSカーネルの信頼チェーンを更新する必要があります。期限切れに伴い、古いブートローダーを使用するシステムはブート不能に陥るリスクがあります。

考察

実務対策：

• UEFIファームウェアの緊急更新：PC/サーバーベンダー（Dell、HP、Lenovo等）から提供される最新ファームウェアを適用し、新しいSecure Bootデータベース（DBX/DB）をインストールしてください。特に2015年以前に製造されたシステムは要注意です。
• ブートローダーのクリーンアップ：古いWindowsブートローダー（bootmgfw.efi等）が残存していると、期限切れ証明書によりブート検証に失敗する可能性があります。最新のWindows Update適用後、bcdeditやファームウェア設定で、古いブートエントリを削除してください。
• リカバリメディアの事前準備：証明書期限切れによりブートループに陥った場合の復旧手段として、最新のWindowsインストールメディア（USB）を事前に作成し、セキュアブートを一時的に無効化して修復できる手順を文書化しておくことが必須です。

技術的背景と長期的影響： Secure BootはUEFIファームウェアがOSブートローダーの署名を検証する仕組みであり、その信頼の根幹となるPKI証明書の有効期限管理は、サプライチェーン全体での課題です。今回の期限切れは、2015年に発行された新証明書への移行が不完全であったことの表れであり、IoT機器や組み込みシステム、医療機器等で長期間ファームウェア更新が行われていないデバイスにおいて、恒久的なブート不能や、セキュアブート無効化によるセキュリティ低下が懸念されます。企業はアセット管理データベースを精査し、Secure Boot証明書の有効期限を監視する仕組みを構築すべき時期に来ています。

参照元

• Microsoft's Original Windows Secure Boot Certificate Is Expiring

4. OTマルウェア「ZionSiphon」：水処理施設への攻撃

概要

OT（運用技術）環境専用に設計された新マルウェア「ZionSiphon」が発見されました。水処理および海水淡水化施設を標的とし、塩素レベルの危険な上昇や水圧の異常調整による施設運転妨害を目的としています。マルウェアはイスラエル国内のIPレンジを標的とする仕様ですが、現在は暗号論理エラー（XORミスマッチ）により機能不全となっています。将来のバージョンで修正されれば、重大な物理的損害を引き起こす可能性があります。

考察

実務対策：

• ICSネットワークのエアギャップ維持とUSB制御：ZionSiphonはUSBデバイスを介した伝播機能を持ち、エアギャップ環境を想定した設計です。重要インフラの制御システムでは、USBポートの物理的封印、 removable mediaの使用禁止ポリシーの徹底、およびUSBデバイス管理ソリューションの導入が急務です。
• Modbus/DNP3トラフィックの深層検査：マルウェアはModbus、DNP3、S7commプロトコルをスキャンします。ICSネットワーク内のこれらのプロトコル通信を監視し、予期しない設定変更（特に塩素関連パラメータや圧力設定値の変更）を検知するアラートを設定してください。
• ICS専用EDR/ネットワーク監視：従来のITセキュリティ製品では検知困難なOT固有の挙動を監視するため、Nozomi Networks、Claroty、Darktrace（本発見を行った企業）などのICS専用監視ソリューションの導入を検討してください。

技術的背景と地政学的文脈： ZionSiphonは、2010年のStuxnet以来、重要インフラを標的としたICS専用マルウェアの進化を示す最新例です。特に「IncreaseChlorineLevel()」関数による具体的な化学パラメータ操作は、単なるITシステム妨害を超えた、公共衛生に対する直接的な攻撃意図を示唆しています。IPレンジによる標的選別と、文字列に含まれる政治的消息から、国家支援型の攻撃グループによる開発の可能性が示唆されます。現在は機能不全ですが、修正版が出現した際の影響を考慮し、事前対策を講じる必要があります。

参照元

• ZionSiphon malware designed to sabotage water treatment systems

5. McGraw Hill 1350万アカウントのデータ侵害

概要

教育テクノロジー大手McGraw Hillで、1350万ユーザーアカウントに関するデータ侵害が発生しました。ShinyHuntersグループが、Salesforce環境の設定ミスを悪用して侵入し、名前、住所、電話番号、メールアドレスなどのPII（個人識別情報）を窃取しました。同グループは最近、Rockstar Games（Snowflake環境）やEuropean Commissionなども侵害しており、SaaSプラットフォームを標的とした攻撃キャンペーンを展開中です。

考察

実務対策：

• SaaS設定の即時見直し：SalesforceなどのSaaS環境における「設定ミス」は、MFA未設定、過剰なAPI権限、IP制限の不在などが原因となることが多いです。すべてのSaaSテナントで、CIS Benchmarksやベンダー提供のセキュア設定ガイドに基づく設定監査を実施してください。
• 漏洩データのモニタリング：Have I Been Pwnedなどのサービスで、自社ドメインのメールアドレスが本侵害に含まれていないか監視し、漏洩した従業員/学生に対して、フィッシング攻撃への警戒を喚起する通信を実施してください。
• Salesforce Shield/監査ログの有効化：Salesforce環境では、Event MonitoringとShield Encryptionを有効化し、異常なデータエクスポートや、予期しないIPからのアクセスを検知できる体制を構築してください。

技術的背景と攻撃者動向： ShinyHuntersの活動パターンは、従来の「ランサムウェアによる暗号化」から「SaaSデータ窃取と公開による恫喝」へと進化しています。特にSnowflake、Salesforceなどの「データレイク」/「CRM」プラットフォームを標的とする傾向は、これらのプラットフォームに集積される大量の構造化データの価値を認識した結果です。設定ミスによる侵害は、技術的には「脆弱性」ではなく「構成管理の失敗」ですが、攻撃者にとっては同等の侵入経路となります。サプライチェーン攻撃（SaaSプロバイダ側の問題が顧客に波及）のリスクも指摘されており、SaaS利用における「責任の共有モデル」の再確認が必要です。

参照元

• Data breach at edtech giant McGraw Hill affects 13.5 million accounts

まとめ

本日のニュースは、「信頼の根幹」に対する多角的な攻撃が同時進行していることを示しています。Microsoft Defender（エンドポイント保護）とWindows Secure Boot（システム起動の信頼基盤）という、Windowsエコシステムの2大セキュリティ柱に同時に深刻な問題が発生したことは、単なる偶然の重なりではなく、複雑化するシステムアーキテクチャにおけるセキュリティメンテナンスの限界を露呈しています。

今後の注視ポイント：

1. Microsoftの緊急対応：RedSun脆弱性に対するOOB（帯域外）パッチのリリース有無と、PoC悪用による実際の攻撃事例の出現状況。特に、Defenderの挙動を悪用するため、従来のEDRでは検知困難な「Living off the Land」攻撃として出現する可能性があります。
2. Secure Boot期限切れの影響範囲：4月以降、期限切れ証明書を持つブートローダーを使用するシステムでブート不能が多発する可能性があります。エンタープライズ環境での「ブート不能PC」の大量発生に備え、ヘルプデスク体制の強化が必要です。
3. OTマルウェアの進化：ZionSiphonの修正版出現と、他の重要インフラ（エネルギー、輸送）への標的拡大。特に、USB経由でのエアギャップ突破手法は、他のAPTグループにも模倣される可能性があります。
4. SaaS設定ミス攻撃の広がり：ShinyHuntersの手法が、SalesforceやSnowflakeに留まらず、ServiceNow、Workdayなどの他のSaaSプラットフォームにも展開される可能性。設定ミスによる「設定ドリフト」の継続的な監視体制構築が喫緊の課題です。

組織は、個別の脆弱性対応に加えて、これらの事象が相互に連鎖するシナリオ（例：Defender脆弱性で侵入→Secure Boot無効化で永続化→SaaSデータ窃取）を想定した、包括的なインシデントレスポンス計画の見直しを推奨します。