Defenderの権限昇格が“いま”悪用中——EPP/EDR崩しの起点を断ち切る更新と監視が最優先です

今日の深掘りポイント

• Microsoft Defenderの特権昇格（CVE-2026-41091）とDoS（CVE-2026-45498）がアクティブに悪用され、CISAのKEVにも追加されています。更新適用は“計画”ではなく“即応”の領域です。
• EPP/EDR層が一度でも鈍れば、横展開と資格情報窃取のスピードが跳ね上がります。SYSTEM権限の奪取は防御側の「時間」を一気に奪うトリガーです。
• Defenderプラットフォーム更新はWindows Updateやエージェントの自動更新に依存し、環境ごとに“ばらつき”が出やすいです。バージョン・ドリフトの可視化が鍵です。
• 重要インフラやオフライン端末、VDIゴールデンイメージは“盲点”になりがちです。例外管理とリング配信設計を見直す好機です。
• 監視は「侵入検知」だけでなく、「防御の劣化検知」へ。セキュリティサービスの停止・低下・設定変更の兆候を一次指標に据えるべきです。

はじめに

マイクロソフトはMicrosoft Defenderに関する2件の脆弱性が実際に悪用されていると公表し、CISAも既知の悪用脆弱性リスト（KEV）に追加しています。特権昇格のCVE-2026-41091は、攻撃者がローカルからSYSTEM権限を取得できる可能性が指摘され、サービス拒否のCVE-2026-45498はDefenderの可用性を損なう恐れがあります。いずれもMicrosoft Defender Antimalware Platformの最新バージョンで修正済みと報じられています。連邦機関には短い期限での修正適用が求められており、企業環境でも優先度を引き上げる理由は十分です。

今回のスコア情報や「アクティブ悪用」というシグナルは、技術的深刻度だけではなく、運用面の“いま動ける手当て”が効くタイミングであることを示しています。攻撃側の勝ち筋は、EPP/EDRの鈍化→権限昇格→横展開という王道です。だからこそ、防御側は更新適用と“防御の劣化検知”を即座に重ねる必要があります。

出典は以下を参照ください（記事末にリンクを記載します）。

深掘り詳細

何が起きているのか（事実）

• Microsoft Defenderにおける特権昇格（CVE-2026-41091）とサービス拒否（CVE-2026-45498）がアクティブに悪用中と報じられています。両者はMicrosoft Defender Antimalware Platformの最新バージョンで修正されています。
• CISAは2件をKEVに追加し、連邦機関には短期の期限で適用を要請しています。
• 特権昇格はローカル権限からのSYSTEM獲得リスクを含み、DoSはDefender自体の可用性を下げ得ます。
• 参考リンクに示す一次報道で、修正は“プラットフォーム更新”で提供される点が強調されています。

これらはいずれも「侵入前に防ぐ」より「侵入後の踏み台化を阻む」性格が強い脆弱性です。防御の土台に当たるEPP/EDRの健全性を維持することが、SOC全体の検知・封じ込め能力を支えます。

ここから読み解けること（インサイト）

• 攻撃者の現実解として、初期侵入はフィッシングやインターネット露出サービスの弱点を使い、その後ローカルEoPでSYSTEM権限を確保し、セキュリティ制御を鈍らせたうえで資格情報窃取と横展開へ進みます。DefenderのEoPはこの「第2手」を強化する格好の手段です。
• プラットフォーム更新はOSパッチと異なり、“自動で入るはず”の油断が環境差を生みます。プロキシ越え、長期アイドル端末、仮想デスクトップのゴールデンイメージ、分離網の更新遅延が典型的なドリフト要因です。可視化と例外管理を運用プロセスに組み込むことが、技術対策と同じくらい効きます。
• DoS脆弱性自体の深刻度は相対的に低めでも、EPP/EDRが鈍る“時間”は攻撃者の活動時間をそのまま延ばします。検知が数十分遅れるだけで、後段の横展開やデータ探索の成功確率は一気に上がります。可用性低下＝検知遅延として捉えるべきです。
• 指標面では“緊急性”と“現場適用性”が高く、全社のリスクコミュニケーションを乗せやすい案件です。逆にポジティブ要素が低いのは、既に悪用が確認されているためです。CISOは、優先度の見える化（例：「即日適用」「48時間以内」）と、完了証跡のボード報告までをセットで設計すべきです。

なお、CVE-2026-41091の技術的詳細として「不適切なリンク解決」に類する実装バグが背景にある可能性が示唆されていますが、現時点で公表されている範囲では詳細手口は限定的です。この点は仮説であり、正式な技術分析が出次第、対応判断をアップデートすべきです。

脅威シナリオと影響

以下は現時点の公表情報を前提にした仮説シナリオです。MITRE ATT&CKのタクティクス/テクニックは代表例を併記します。

• シナリオA：ローカル権限からのSYSTEM奪取と防御劣化

  • 初期侵入（メール・Web経由のマルウェア投下など）から一般ユーザー権限でフットホールド確保。
  • CVE-2026-41091を用いてSYSTEMへ権限昇格（Privilege Escalation: T1068）。
  • セキュリティ設定の改変やリアルタイム保護の無効化（Defense Evasion: Impair Defenses T1562）。
  • 資格情報窃取（Credential Access: OS Credential Dumping T1003）と横展開（Lateral Movement: Remote Services T1021）。
  • 影響：検知低下のもとで横展開が加速し、ドメイン支配や二次被害（データ持ち出し、ランサム展開）が現実化します。

• シナリオB：Defender DoSで“盲目化”してからの短期決戦

  • CVE-2026-45498を悪用し、Defenderの機能低下・停止を誘発（Defense Evasion/Impact: T1562, Service Stop T1489）。
  • 障害復旧前の短時間にペイロード実行（Execution: Scheduled Task/Job T1053, Service Execution T1569）とデータ収集（Collection: T1056系）を完了。
  • 影響：検知が遅れ、短期型の smash-and-grab（奪取即撤収）で被害が顕在化します。

• シナリオC：重要システム隣接での“静かな”持続化

  • 防御鈍化下で自動起動・サービス周りにフットホールドを設置（Persistence: Boot or Logon Autostart Execution T1547）。
  • 影響：重要業務システムの近傍で長期潜伏し、特定イベントに合わせて活動する持続化型の脅威に発展します。

業務影響は、対応の遅延に比例して拡大します。特に集中管理が効きにくい拠点端末や一時利用の端末群、VDIプールなどは、更新適用の“穴”になりがちです。ここを埋めることが、被害の面積を最も効率的に縮める打ち手です。

セキュリティ担当者のアクション

“いま動けること”に絞って優先順で整理します。

1. バージョンの事実確認と是正を即日で

• Microsoft Defender Antimalware Platformのバージョン・カバレッジを全社で棚卸しします。PowerShell（例：Get-MpComputerStatus）や資産管理/EDRのインベントリで、未更新端末を抽出します。
• 抽出結果に対し、リング0（高リスク資産・要人端末・管理端末）→リング1（サーバ群）→リング2（一般端末）の順に即時適用を進めます。オフライン端末とVDIゴールデンイメージは個別に手当てします。

2. 更新配信のパイプを見直す

• Windows Update/WSUS/Intune/SCCMいずれで配信しているかを再確認し、プロキシや帯域制御で止まっていないかを点検します。
• 再起動要否、保留状態の有無、サイレント失敗のログ有無を確認し、SOE（標準端末設計）に“Defenderプラットフォーム更新の健全性チェック”を組み込みます。

3. 防御の“劣化検知”を追加

• セキュリティサービスの停止・失敗・設定変更のイベントをSIEMで優先監視します。具体的には、Defenderのリアルタイム保護無効化、署名更新失敗、サービス停止・クラッシュ、異常再起動などの兆候です。
• これらのイベントを“侵入の可能性”と同等の優先度でトリアージし、EDRテレメトリの欠損が出た端末は隔離を含む即応フローに乗せます。

4. 既存ハードニングの再適用

• Tamper Protection、ASR（Attack Surface Reduction）ルール、WDAC（Windows Defender Application Control）/AppLockerのベースラインを見直します。EoPそのものは止まらなくても、後段の防御無効化や横展開の難易度を引き上げられます。
• 管理者権限の貸与・委任を再点検し、ローカル管理者の横断的共有を解消します。SYSTEM奪取後の横展開を遅らせる目的です。

5. インシデント前提の運用

• 未更新端末が一定数存在する前提で、横展開の初期指標（疑わしいサービス作成、スケジュールタスク、異常なSMB/RDP/WinRM接続、LSASSアクセス増加など）を検知強化します。
• 重要インフラやOT近傍では、ネットワーク分離の一時強化や移行期の“監視強度の引き上げ”をセットで実施します。

6. ガバナンスとレポーティング

• 経営層向けに「適用対象—適用済み—例外—期限」の四象限で進捗を可視化します。期限付き例外には代替統制（隔離、監視強化、使用制限）を必ず紐づけます。
• CISA KEV追加という外部圧力を活用し、ベンダー・委託先を含むサプライチェーンの準拠状況をフォローアップします。

最後に、今回のケースは“高度なゼロデイ解析”よりも“運用の当たり前を確実に回す”ことが勝ち筋です。バージョン・ドリフトの可視化、配信パイプの健全化、防御劣化の検知。この三点を短時間で回し切れるかどうかが、被害の面積を決めます。

参考情報

• Microsoft warns of two actively exploited Microsoft Defender flaws, CISA adds to KEV（The Hacker News）: https://thehackernews.com/2026/05/microsoft-warns-of-two-actively.html

本稿の一部には、技術詳細が未公開の点を踏まえた仮説を含みます。追加情報が公開され次第、推奨アクションの見直しを継続します。読者のみなさんの現場に寄り添いながら、必要なアップデートを追いかけていきます。以上です。