リークされたMicrosoft Defenderのゼロデイ3件、実際の攻撃で悪用される

リークされたMicrosoft Defenderのゼロデイ3件、実際の攻撃で悪用される

Help Net Security – April 17, 2026

4月初めにMicrosoft Defenderにおけるゼロデイ脆弱性「BlueHammer」のPoCエクスプロイトをリリースしたセキュリティ研究者が、同製品における別のゼロデイ2件についてもPoCエクスプロイトをリリース。BlueHammerはのちにCVE-2026-33825として採番され、4月13日公開の月例パッチで修正されたものの、残り2件に関してはまだパッチが存在していない。3件いずれの脆弱性も、すでに実際の攻撃で悪用され始めているという。

BlueHammerは、4月3日に「Chaotic Eclipse（Nightmare Eclipse）」と名乗る研究者によって開示された特権昇格の脆弱性。この研究者はそれ以前にマイクロソフトへ同ゼロデイを報告していたものの、同社の対応に不満を抱いたためこの脆弱性のPoCをGitHub上にリリースしたとされる。

関連記事：Windowsのゼロデイ「BlueHammer」のエクスプロイトを研究者がリリース　マイクロソフトの対応に不満か

その後、マイクロソフトは4月の月例パッチでこの脆弱性を修正。アドバイザリにおいて、認可された攻撃者によるローカルでの特権昇格を可能にする脆弱性で、悪用を成功させた攻撃者はSYSTEM権限を取得できる恐れがあると説明した。

アドバイザリには「悪用される可能性が高い」との記載があるが、実際に悪用が観測されたかどうかは記されていない。しかしHuntressの研究者らによれば、実際の攻撃におけるBlueHammerの悪用はすでに始まっており、4月10日に同エクスプロイトを使った攻撃がWindows Defenderによってブロックされる様子が観測されていたという。

月例パッチがリリースされて間も無く、Chaotic Eclipseは4月16日に別のゼロデイ2件のエクスプロイトも同じGitHubリポジトリ上で公開。「RedSun」と名付けられた1つ目の脆弱性は、BlueHammerと同じくMicrosoft Defenderにおける特権昇格を可能にする脆弱性で、「UnDefend」は標準ユーザーが悪用した場合、Microsoft Defenderの定義の更新をブロックできるようになるとされる。これら2件については、まだパッチが存在していない。

Huntressの研究者らは、RedSunとUnDefendのPoCが攻撃で利用されているのを4月16日に観測したという。攻撃者はこれらのエクスプロイトファイルを標的ユーザーの「画像」「ダウンロード」各フォルダに投下し、不審間を抱かせないようファイル名を変更。その後、ユーザー権限をマップアウトするコマンドを実行して保存されていた認証情報やActive Directoryの構造を特定し、エクスプロイトを実行したとされる。Huntressはターゲットとなった組織の隔離を行い、さらなるエクスプロイト後の活動を阻止したとしている。

Help Net Securityによれば、マイクロソフトの次回の月例パッチ日程まではあと数週間あるため、定例外緊急パッチによる修正が行われる可能性が高いとのこと。

Apache ActiveMQの脆弱性が攻撃で悪用される：CISAがKEVカタログに追加（CVE-2026-34197）

BleepingComputer – April 17, 2026

米CISAは4月16日、Apache ActiveMQにおけるコードインジェクションの脆弱性CVE-2026-34197をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。連邦政府機関に対し、4月30日までの対応を命じた。

CVE-2026-34197は不適切な入力検証に起因する脆弱性で、認証された攻撃者に悪用された場合、インジェクション攻撃を通じた任意コードの実行が可能になるとされる。この脆弱性は13年間見過ごされてきたものの、Horizon3の研究者Naveen Sunkavally氏が、Claude AIを使用して発見し、2026年3月30日にActiveMQ Classicバージョン6.2.3および5.19.4で修正されていた。

KEVカタログへの追加により悪用が明らかになったが、脅威モニタリング団体ShadowServerによれば、4月18日時点で7,500を超える数のApache ActiveMQサーバーがネット上に露出しているという。

CISAの指令の対象とならない民間部門の企業に対しても、CVE-2026-35616へのパッチ適用を優先させることが推奨される。なお、ActiveMQのブローカーログを分析することで、悪用の兆候がないかを調べられるとのこと。

ダークウェブフォーラムが脆弱性悪用に関する記事コンテストを開催　賞金総額は1万ドル

SC Media – April 16, 2026

ダークウェブフォーラム「TierOne」が、脆弱性の悪用をテーマとする記事コンテストの開催を発表。賞金総額1万ドルが提示されたという。

The Cyber Expressによると、2026年4月13日から5月14日にわたって開催されるこのコンテストでは、1位に5,000ドル、2位に3,000ドル、3位に2,000ドルの賞金が授与される予定。記事には、React／Node.jsフレームワークにおけるリモートコード実行、APIおよびバックエンドシステムにおけるコマンドインジェクション、SaaSプラットフォームにおける安全でない直接オブジェクト参照（IDOR）、テンプレートエンジンにおけるサーバーサイドテンプレートインジェクション（SSTI）などの脆弱性や、ルーターやカメラのファームウェアの悪用といったテーマに関するオリジナル調査の内容を記載する必要がある。加えて、特権昇格手法や、大手ベンダー（シスコやOracleなど）の製品の悪用、ブラウザコンポーネントにおけるゼロデイの特定、AIを利用した脆弱性特定、EDRの回避手法といった分野に関する調査も奨励されているという。

ダークウェブフォーラムは違法なマーケットプレイスやデータ取引が行われる場としてだけではなく、技術交流の拠点としても機能している。今回のコンテストにより、体系化された経験に基づく技術的コンテンツを生み出すための組織的な取り組みがダークウェブ上にも存在しているという事実が浮き彫りになっている。