Tech & Startups 2026年7月9日 Ars Technica マイクロソフトのWindows Defenderゼロデイ修正、うっかりハードドライブを満杯にする可能性があると研究者 マイクロソフトのWindows Defenderゼロデイ修正パッチは、別のバグを生み出し、攻撃者がハードドライブを満杯にする可能性があると研究者が指摘。 0 0 シェア X / Twitter LinkedIn リンクをコピー Image: Ars Technica マイクロソフトが水曜日に公開したDefenderセキュリティエンジンのゼロデイ脆弱性パッチには副作用があるかもしれない。元の欠陥を発見した研究者によると、ハードドライブを巨大なファイルで満杯にする可能性があるという。 CVE-2026-50656として追跡され「RoguePlanet」と名付けられたこの脆弱性は、6月にNightmareEclipseという仮名の研究者によって公開され、同時にエクスプロイトコードも公開された。この欠陥により、リモートの攻撃者は、リアルタイム保護が無効になっていても、Windows 10およびWindows 11マシンの管理制御を取得できる。マイクロソフトのパッチはDefenderが使用するMicrosoft Malware Protection Engineを更新し、セキュリティを向上させる「多層防御アップデート」を含んでいる。 しかし、木曜日の投稿でNightmareEclipseは、これらの緩和策が新たな問題を引き起こすと述べている。ドライバーmpengine.dllがファイルを開く際に8バイトのデータをリークし、SpyNetクラウドサービス機能と組み合わさることで、Defenderが大量のデータをディスクに書き込み、利用可能なスペースを枯渇させる可能性がある。通常、Defenderはスキャンと隔離中にファイルサイズを制限するが、研究者はZone.Identifierファイル(Windowsがダウンロードファイルに付加する隠しメタデータ)に関する例外を発見した。 これを悪用するには、攻撃者は悪意のあるファイル(mimikatzなど)とそれに続く巨大なADSファイル(例:mimikatz.exe:Zone.Identifier)を提供するカスタムSMBサーバーを必要とする。読み取り要求を完了せずに接続を維持することで、Defenderがハングしてファイルをロックし、ディスク容量を消費する。これによりマシンがクラッシュすることはないが、ディスクが満杯になるとアプリやサービスがランダムにクラッシュする。 マイクロソフトはこの動作をすぐには確認しなかった。NightmareEclipseとマイクロソフトの対立は少なくとも5月にまで遡り、研究者がマイクロソフトが報告された脆弱性を密かにパッチしたと主張した。それ以来、研究者はマイクロソフトがパッチを適用する前に、いくつかの欠陥の詳細とエクスプロイトコードを公開している。マイクロソフトはこれらの開示を無責任だと批判し、法的措置を示唆したが、世論の反発を受けて撤回した。木曜日の暴露は、確執が続いていることを示唆している。