Microsoft Defender ゼロデイ三連発「BlueHammer / UnDefend / RedSun」徹底解説──2026年4月パッチ対応

Microsoft Defender ゼロデイ三連発「BlueHammer / UnDefend / RedSun」を徹底解説──2026年4月パッチチューズデーから読む現場対応

2026年4月のセキュリティ業界は、Microsoft Defenderを狙った3連続のゼロデイ攻撃に揺れた。攻撃者コミュニティではすでに「BlueHammer(CVE-2026-33825)」「UnDefend」「RedSun」というニックネームで流通しており、いずれもエンドポイントの保護機構そのものを内側から弱体化させる悪質な系譜を持つ。

本稿はPicus Security、The Hacker News、Tenable、CrowdStrike、ZDI各社の一次レポートをベースに、エンジニア(特にインフラ・社内SE・SOC担当)の視点から、攻撃の本質と現実的な対策を整理する。

本稿で扱う内容は、(1) 4月パッチチューズデーの全体像と注目CVE、(2) BlueHammerの技術的本質、(3) UnDefend・RedSunとの連鎖構造、(4) 現場での即時対応リスト、(5) 経営層への報告テンプレート、(6) 慢性的人材不足下でのキャリア戦略──の6点である。「またゼロデイか」と流す前に、自社の防御アーキテクチャを点検する素材として読み解いてほしい。

1. 4月パッチチューズデーの全体像──163件、うちゼロデイ2件

2026年4月のMicrosoft Patch Tuesdayは 163件のCVEに対応(Critical 8件・Important 154件)。このうちゼロデイ扱いは2件で、特筆すべきは以下である。

• CVE-2026-32201(SharePoint Spoofing, CVSS 6.5): 既に in-the-wild で悪用が確認されたspoofing欠陥。SharePoint Server運用組織は最優先パッチ対象。
• CVE-2026-33825(Microsoft Defender 権限昇格, “BlueHammer”): 4/7にパッチより先にPoCが公開された真のゼロデイ。Windows 10/11のフルパッチ環境でも、非特権ユーザーがSYSTEM権限を取得可能。

一方、Adobe側でもCVE-2026-34621(Acrobat Reader)がアクティブ悪用中であることが確認された。研究者Haifei Li氏が公開したPoCでは、細工したPDFを開くだけで悪意あるJavaScriptが実行される。

2. BlueHammer(CVE-2026-33825)──Defenderの「自分自身の修復ロジック」を悪用

BlueHammerの巧妙さは、Defenderのfile remediation logic(検出ファイルの隔離処理)を逆手に取る点にある。攻撃者はDefenderに「悪性ファイル」と誤検出させるダミーファイルを設置し、それが「隔離→復元」される過程に発生するシンボリックリンクの解決順序の脆弱性を突いて、システムのSYSTEMレベルで任意ファイル書き込みを実現する。

この種のTOCTOU(Time-of-check vs Time-of-use)系の欠陥は、伝統的に「アンチウイルス自身が一番美味しい標的」という業界の警鐘どおりだ。Defenderはほぼすべての企業Windows端末で稼働しており、攻撃者にとっては「全ユーザーがインストールしているソフトのSYSTEM権限取得」という、まさに垂涎のターゲットとなる。

3. UnDefend と RedSun──13日間で連鎖した「Defender弱体化キャンペーン」

BlueHammerの公開からわずか13日間のうちに、追加でUnDefendとRedSunが登場した。

• UnDefend: Defenderの定義ファイル更新メカニズムを破壊し、長期にわたって防御力を「徐々に」低下させる。検知系のSIEMアラートが鳴らない速度で進行するため、運用上の発見が極めて困難。
• RedSun: Defenderの「クラウドタグ付きファイル(MOTW: Mark of the Web)」処理を悪用し、システムパスのファイルを上書きして昇格を達成する。Office文書やZIP由来の制限を逆用した点が特徴的。

3者は独立した脆弱性のように見えるが、攻撃者視点では「同一ベンダーのEDR系ロジックの薄弱な部分」という共通の構造を持つ。すなわちエンドポイント保護製品を「防御の最終線」だと信じることのリスクが、改めて浮き彫りになった。

4. エンジニア視点で重要なポイント

本件が業務に与える影響は、単に「パッチを当てる」だけでは済まない。社内SE・インフラエンジニア・SOC担当として、以下を再点検すべきだ。

(1) EDR/AV単独防衛モデルの再評価
Defender、CrowdStrike Falcon、SentinelOneなどEDRに依存した「ホスト境界防衛」は、製品自体に欠陥があった場合に総崩れになる。EDR・SIEM・NDR(Network Detection and Response)の多重化とSOAR連携は、もはや贅沢ではなく前提だ。

(2) パッチ管理の「先出し情報」収集パイプライン
ZDI、Tenable、CrowdStrike、Help Net Securityなどの英語ソースを毎週直接購読することを強く推奨する。日本語のニュースサイト経由では数日のタイムラグが発生し、PoC公開→悪用までの「最も危険な48時間」を逃す。

(3) 「Detection-as-Code」の整備
脅威ハンティングのルールをSigmaやKQLでコードとして管理し、Gitで履歴を残す運用に切り替えるべきだ。BlueHammer級のゼロデイが出たとき、「ルールを書ける人」がオンコールにいるかどうかで被害規模は2桁変わる。

(4) 経営層への「リスクの言語化」
経営はCVSSやCVE番号には反応しない。「自社が保有する顧客データ◯件が、SYSTEM権限経由で持ち出される可能性」と事業インパクトに翻訳する力こそ、今のセキュリティエンジニアの市場価値だ。

5. 検出・対応の現場ノウハウ──組織で今すぐやるべき5項目

パッチが間に合わない/適用が困難な環境(古いLOB端末、医療機器、製造ライン等)を抱える組織のために、現場でよく取られる暫定対応をまとめておく。

1. Microsoft Defender Tamper Protectionの強制有効化: グループポリシーまたはIntuneで強制設定。ユーザー権限による無効化を防ぐ。
2. ASR(Attack Surface Reduction)ルールのBlockモード移行: Audit運用のままになっている組織は、4月発覚の3件への耐性が低い。Blockへ段階移行を急ぎたい。
3. Sigma/KQLでBlueHammer挙動検出: シンボリックリンク作成→Defenderの隔離・復元処理→特権昇格の連鎖を検出するクエリを書き、HuntressやMicrosoft Sentinelに流し込む。
4. EDR/AVログのオフサイト保管: 攻撃者がDefenderログを改ざんする可能性を考慮し、Syslog経由で外部ストレージに即時保管。Defender自身が改ざんされても証跡を確保できる。
5. SOAR Playbookの更新: 「Defenderから稀な隔離→復元イベント」が短時間に多発した場合に、自動で端末隔離・調査チケット起票するPlaybookを設定。

これらは1日で実装可能な内容だが、運用ルールに踏み込んだ「習慣化」が伴って初めて意味を持つ。インシデント対応訓練(TTX)の題材として、BlueHammerシナリオは秀逸である。

6. 経営報告のテンプレート──「3行で」リスクを伝える

セキュリティエンジニアは、経営層に対して短い言葉でリスクを伝えなければならない。BlueHammer案件の例で言えば、報告は概ね次の3行で足りる。

「全社員のWindows端末にインストールされたMicrosoft Defenderに、攻撃者が管理者権限を奪取できる脆弱性が存在し、4月7日にPoCが公開され、4月のパッチで修正済みです。当社は4月XX日までに全端末の97%にパッチを適用済みで、残る3%は隔離ネットワーク移行と1週間以内の代替端末配布で対処します。今回の脆弱性を悪用した攻撃の社内検知は現時点で確認されていません。」

このテンプレートを毎回、変数だけ差し替えて使える状態にしておくと、CISOからの信頼が圧倒的に厚くなる。技術的詳細はAppendixに分離するのが原則だ。

7. キャリア面の機会──「セキュリティ人材」が圧倒的に不足する局面

2026年Q1の段階で、グローバルのセキュリティ人材ギャップは400万人超とされる。日本国内でも、社内SE・SOC・脆弱性ハンドラのいずれもが慢性的な人手不足だ。

セキュリティ案件に強い転職エージェントとしては、社内SE特化の 社内SE転職ナビ や、IT職種特化の IT転職エージェント＠PRO人 が選択肢となる。EDR運用・脆弱性管理・インシデントレスポンスの経験は、面談時に金額として明確に評価される領域だ。

8. 編集後記──「Defender自体が攻撃面になる時代」を直視する

Defenderの3連続ゼロデイは、単なるパッチ漏れの話ではない。防御製品自身が攻撃面になる時代を象徴する事件であり、これからのセキュリティアーキテクチャは「ベンダー単一の魔法の銃弾」ではなく、「複数の不完全なレイヤーを積み重ねるDefense in Depth」へと、確実に揺り戻されていく。

エンジニアとしては、この揺り戻しこそが市場価値の上昇トレンドであることを認識し、セキュリティ系のスキル投資を加速させるべきタイミングだ。

最後に1つ実務的な提案をしておきたい。社内のセキュリティチーム外のエンジニアでも、(a) 自分の担当プロダクトで動いているOSSのSBOMを生成して脆弱性スコアを可視化する、(b) 開発リポジトリでDependabot/Renovate/Snykいずれかを必ず動かす、(c) IRシナリオを月1回30分のテーブルトップ演習として実施する──この3つを「セキュリティ専門ではないエンジニアの最低ライン」として置くのが妥当だ。Defenderゼロデイ事件は、このラインがまだ低すぎる組織が多いことを露呈させた。改善は今週から始められる。

参考ソース

• BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-day Explained (Picus Security)
• Three Microsoft Defender Zero-Days Actively Exploited (The Hacker News)
• Microsoft April 2026 Patch Tuesday: 163 CVEs (Tenable)
• April 2026 Patch Tuesday Analysis (CrowdStrike)
• Adobe Patches Actively Exploited Acrobat Reader Flaw CVE-2026-34621