米国連邦サイバーセキュリティ局は最近、Windows システムに組み込まれているセキュリティ ソフトウェアである Microsoft Defender がランサムウェア攻撃に悪用される深刻な脆弱性に直面していると警告しました。 CVE-2026-33825 として追跡され、コードネーム「BlueHammer」と呼ばれるこの脆弱性により、認証された攻撃者が影響を受けるシステム上で自分の権限を昇格することが可能になります。攻撃者が企業または機関のネットワークに侵入すると、この追加の権限は攻撃チェーンをさらに進めるのに十分です。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性がランサムウェア作戦に悪用されたと述べたが、関与した攻撃グループに関する具体的な情報は明らかにしなかった。

「BlueHammer」は4月2日に異例の方法でリリースされた。「Chaotic Eclipse」と「Nightmare Eclipse」という名前を使用する研究者は、Microsoftの脆弱性報告の扱い方への不満を理由に、Microsoftがパッチをリリースする前に関連するエクスプロイトの詳細を公開した。脆弱性の詳細を早期に開示することで、防御側が通常必要とする準備期間が大幅に短縮され、潜在的な攻撃者がパッチが公開される前にすぐに脆弱性を武器化しようとすることが可能になります。
Microsoftは4月14日にパッチをリリースし、この脆弱性が認証されたユーザーによる権限昇格に利用される可能性があると述べ、同月下旬に公式セキュリティ勧告を更新し、この脆弱性が悪用される「可能性がより高い」と強調したが、その時点では実際の攻撃は確認されていなかった。実際の状況は第三者のセキュリティ機関によって提供されます。セキュリティ会社Huntressは、パッチがリリースされる前に攻撃者がBlueHammerをゼロデイ脆弱性として扱って悪用していたと報告した。
4 月 22 日、CISA は CVE-2026-33825 を既知の悪用された脆弱性 (KEV) カタログに追加し、積極的に悪用されているセキュリティ上の欠陥としてマークしました。その後の更新で、CISA はこの脆弱性がランサムウェア攻撃に悪用されたことを明らかにしました。ただし、KEV カタログは通常、エントリを更新するときに詳細を提供しません。また、脆弱性がランサムウェアに関連しているとマークされた場合、組織は独立した通知を発行しません。この比較的「静かな」更新方法は、一部のセキュリティ専門家からも疑問の声が上がっており、脆弱性の修復に優先順位を付ける際の最前線の防御チームに対する実際の助けは限られています。
BlueHammer を特別なものにしているのは、特権昇格を可能にする機能だけでなく、コア セキュリティ コンポーネントである Microsoft Defender 内に存在していることです。 Defender は、Windows に組み込まれている保護ソフトウェアとして、多くの場合、より高いアクセス許可で実行されます。セキュリティ チームは、システムの可視性と制御を得るために、このような高度な権限に依存しています。ただし、これは、Defender 自体に脆弱性が発生すると、その影響が通常のアプリケーションよりもはるかに大きくなる可能性があることも意味します。攻撃者が BlueHammer を通じてより高い権限を取得すると、横方向への移動、ランサムウェアの展開、その他のアクションが容易になります。
特定のランサムウェア集団が攻撃チェーンで BlueHammer をどのように使用するかについては、まだ公開されている詳細が限られています。 CISA の KEV カタログには、エントリ ステータスが変更された場合の詳細な説明が不足しており、脆弱性が「ランサムウェア攻撃用」に更新された場合に、CISA 機関が積極的に追加の警告を発することはありません。この情報の非対称性により、一部のセキュリティ専門家は、防御者が修復戦略を策定する際に、依然として十分な透明性のあるインテリジェンスのサポートが不足していると考えています。
この情報格差は民間部門の努力によって部分的に埋められています。脅威インテリジェンス企業 GreyNoise は、脆弱性がランサムウェア悪用に関連するとマークされた場合を含め、CISA KEV カタログの変更を追跡する無料ツールを開始しました。これは、セキュリティ チームがこれらの重要な情報の変更をよりタイムリーに検出し、パッチ管理とリスク評価における迅速な対応を促進できるようにすることを目的としています。
BlueHammer のタイムラインは、ソフトウェアの脆弱性に対する業界の長年の問題を反映しています。このケースでは、エクスプロイトの詳細がパッチの前にリリースされ、攻撃者は防御側が修正にアクセスする前に運用上の攻撃マニュアルを入手しました。パッチがリリースされた後でも、実際の攻撃シナリオで脆弱性が具体的に使用される方法に関する情報は遅れていることが多く、セキュリティ チームは全体像を把握できないまま意思決定を行うことを余儀なくされていました。
あらゆるタイプの組織において、4 月の Microsoft セキュリティ アップデート以降にパッチが展開されていないシステムは、ランサムウェア攻撃に関連することが証明されているリスクに依然としてさらされる可能性があります。複雑な攻撃シナリオでは、攻撃者は複数の技術的手段を組み合わせることがよくあります。このような権限昇格の脆弱性がコア セキュリティ コンポーネント内に現れると、元々は小規模な侵入の試みが、重大なセキュリティ インシデントに発展する可能性があります。