謎の研究者Chaotic Eclipse、Windowsのゼロデイエクスプロイトを新たにリリース

佐々山 Tacos

2026.05.14

謎の研究者Chaotic Eclipse、Windowsのゼロデイエクスプロイトを新たにリリース

The Register – Wed 13 May 2026

2026年4月以降、匿名でWindowsのゼロデイ3件を開示してきたセキュリティ研究者「Chaotic Eclipse（Nightmare Eclipse）」が、新たに2件の脆弱性に関する詳細をリリース。これらの脆弱性は、それぞれ「YellowKey」、「GreenPlasma」と名付けられている。

Chaotic Eclipseはマイクロソフトに不満を持つ研究者と考えられている人物。同研究者は4月3日にMicrosoft Defenderにおけるゼロデイ脆弱性「BlueHammer（CVE-2026-33825）」のPoCエクスプロイトをリリースし、同月16日に同製品における別のゼロデイ「RedSun」および「UnDefend」のエクスプロイトも公表。その後セキュリティ企業Huntressが、いずれについても実際の攻撃での悪用が観測されていると伝えていた。

BlueHammerは4月の月例パッチで修正されているものの、RedSunとUnDefendにはCVE識別子が割り当てられておらず、未修正のままとみられる。ただし、Chaotic EclipseはマイクロソフトがRedSunを密かに修正済みであるとの考えを示している。

関連記事：Windowsのゼロデイ「BlueHammer」のエクスプロイトを研究者がリリース　マイクロソフトの対応に不満か

その後、マイクロソフトが2026年5月の月例セキュリティ更新プログラムを公開して間も無く、Chaotic Eclipseは新たにYellowKeyのPoCエクスプロイトとGreenPlasmaの部分的なエクスプロイトをリリース。前者はWindows 11およびWindows Server 2022/2025に影響を与えるBitLockerのバイパス、後者はSYSTEMアクセスの取得を可能にする特権昇格の脆弱性とされている。

YellowKey

Chaotic EclipseはYellowKeyを、自身が発見した中でも最も「狂った」ものの1つと表現し、GitHub上にいくつかのファイルを提供。攻撃者がこれらのファイルをUSBドライブにロードしてBitLockerで保護されたターゲットマシンに挿入し、キーシーケンスを適切に完了すると、マシンへの無制限シェルアクセスが可能になるという。

つまり、この脆弱性を悪用するためにはWindows PCへの物理的なアクセスが必要となる。ただ、BitLockerは盗難端末を守る最後の砦としての役目も持つ。Forescoutのセキュリティインテリジェンス部門VPであるRik Ferguson氏は、YellowKeyの存在によりPCの盗難被害はもはや単なるハードウェアの問題ではなくなり、「侵害の通知」となると指摘。Bridewellでサイバー脅威インテリジェンスプリンシパルリードを務めるGavin Knapp氏も、物理的アクセスの要件を踏まえても同脆弱性が「BitLockerを使用する組織にとって巨大なセキュリティ問題」であることに変わりはないと語った。

またChaotic Eclipseは、YellowKeyがバックドアのようにも機能すると仄めかしている。これは、脆弱なコンポーネントが、Windowsにおける起動関連の問題を修復するのに使われるWindows回復環境（WinRE）にのみ存在するため。独立系セキュリティ研究者のKevin Beaumont氏は同脆弱性のエクスプロイトが有効であることを確認しているほか、BitLockerにバックドアが存在するとの見解にも同意しているという。

ただ、BitLocker PINおよびBIOSパスワードロックを実装することでこの脆弱性は緩和できる可能性があるとBeaumont氏は提唱している。

GreenPlasma

一方でGreenPlasmaは、「Windows CTFMONにおける、任意セクション作成による特権昇格の脆弱性」と説明されている。この脆弱性により、特権のないユーザーはSYSTEMによる書き込みが可能なディレクトリオブジェクト内に任意のメモリセクションオブジェクトを作成することができ、その結果、それらの場所を信頼している特権サービスやドライバの悪用が可能になる恐れがあるという。

Chaotic Eclipseはあえて不完全なPoCをリリースしており、完全なSYSTEMシェルを取得するために必要なコンポーネントを含めていない。つまり、攻撃者がこのPoCを利用するためには、自分自身で最終的な武器化方法を考えねばならない状態となっている。

GreenPlasmaに関しては既知の緩和策が存在せず、「マイクロソフトがこの問題に対処し次第、パッチを適用することが重要になる」とKnapp氏は指摘した。

今後さらなるゼロデイが明かされる可能性も？

Chaotic Eclipseが相次いでゼロデイエクスプロイトをリークしている正確な動機や理由は不明確なままだが、YellowKeyとGreenPlasmaのリリースについて伝える同研究者のブログ記事には、「次のパッチ・チューズデーには、マイクロソフトの皆さんへの大きなサプライズが用意されています。そして覚えておいてください、私は約束を破ったことは一度もありません」というメッセージが記されている。このことは、6月のマイクロソフト月例パッチ公開時にも、Chaotic Eclipseが何らかのリークを行う可能性を示唆している。