Windows Defenderパッチにディスク枯渇の新欠陥
原題: Patch for Windows Defender 0-day could allow attackers to fill hard disk
なぜ重要か
Defenderの修正パッチ自体が新たな攻撃面を生む事例は、セキュリティパッチ管理の複雑さとサプライチェーンリスクの深刻さを業界に再認識させる。
Microsoftが2026年7月9日に公開したWindows Defenderのゼロデイ脆弱性(CVE-2026-50656)向けパッチに、新たな問題が発覚した。研究者NightmareEclipseは、このパッチがWindows端末のハードディスクを大量データで埋め尽くす攻撃を可能にする挙動を引き起こすと指摘。パッチは自動適用されるが、緩和策の追加実装が新たなリスクを生む形となった。
Microsoftは2026年7月9日(水)、Windows 10およびWindows 11に影響するゼロデイ脆弱性「RoguePlanet」(CVE-2026-50656)を修正するため、Microsoft Malware Protection Engineのアップデートを公開した。同脆弱性は匿名の研究者NightmareEclipseが6月に公開したもので、リアルタイム保護を無効化した状態でもリモートの攻撃者がシステムの管理者権限を取得できるという深刻なものだった。パッチはユーザーの操作なしに自動配信・インストールされる。
しかし翌7月10日(木)、NightmareEclipseは新たな問題をブログ投稿で指摘した。今回のパッチに含まれた「多層防御(defense-in-depth)」の追加実装が、攻撃者によるディスクスペースの完全枯渇を可能にする挙動を生み出す可能性があるという。
具体的には、Malware Protection Engineのドライバ「mpengine.dll」がファイルを開こうとする際に8バイトのデータをリークするケースがあることが判明した。加えて、クライアントのセキュリティ情報をMicrosoftに送信するクラウドサービス「SpyNet」に追加された新機能も関与している。
Defenderは通常、スキャンや検疫の際にディスクへ書き込むファイルサイズに上限を設けている。ところが今回の実装では、「Zone.Identifier」と呼ばれるADS(代替データストリーム)ファイルを例外的にローカルにキャッシュする処理が、ファイルサイズを問わず実行されることが確認された。Zone.IdentifierはWindowsがインターネット経由でダウンロードしたファイルなどに自動付与するメタデータファイルで、ファイルの出所やセキュリティゾーンを記録するために用いられる。
NightmareEclipseによれば、この挙動はSMB(Server Message Block)プロトコルを利用した特定の環境設定を通じて悪用可能だという。なお、同研究者は過去数か月にわたり複数のゼロデイ脆弱性を公開しており、Microsoftがその都度対応に追われる状況が続いている。Microsoftは本稿執筆時点でこの新たな指摘に対するコメントを発表していない。