Packet Pilot X (Twitter)
2026-05-18

MiniPlasma Windows 0-DayによるSYSTEM特権昇格の脆弱性

MiniPlasmaと呼ばれるWindowsの0-Day脆弱性が発見され、完全にパッチが適用されたシステムでも攻撃者がSYSTEM権限を取得できることが明らかになりました。この脆弱性は、Windows Cloud Files Mini Filter Driverに関連する「cldflt.sys」に存在し、特定のルーチンにおいて問題が発生します。Google Project Zeroの研究者が2020年に報告したこの脆弱性は、Microsoftによって修正されたと考えられていましたが、実際には未修正のままであることが確認されました。これにより、全てのWindowsバージョンが影響を受ける可能性があります。

メトリクス

このニュースのスケール度合い

8.0 /10

インパクト

7.5 /10

予想外またはユニーク度

6.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10

主なポイント

  • MiniPlasmaは、Windowsの特定のドライバに存在する脆弱性で、攻撃者がSYSTEM権限を取得できる可能性があります。
  • この脆弱性は、全てのWindowsバージョンに影響を及ぼす可能性があり、特に最新のWindows 11でも確認されています。

社会的影響

  • ! この脆弱性は、企業や個人のデータセキュリティに深刻な影響を及ぼす可能性があります。
  • ! 特に、重要な情報を扱うシステムにおいては、攻撃者による不正アクセスのリスクが高まります。

編集長の意見

MiniPlasmaの脆弱性は、特権昇格のリスクを伴う重大な問題であり、特に企業環境においては深刻な影響を及ぼす可能性があります。この脆弱性が悪用されると、攻撃者はシステムに対して完全な制御を得ることができ、データの漏洩や改ざん、さらにはランサムウェア攻撃などの二次的な攻撃を引き起こす可能性があります。特に、全てのWindowsバージョンに影響を及ぼすため、広範なユーザーがリスクにさらされています。今後、Microsoftはこの脆弱性に対する迅速なパッチを提供する必要がありますが、過去の事例からも見られるように、パッチが適用されない場合や、適用後に問題が再発する可能性も考慮しなければなりません。企業は、システムの監視や脆弱性管理を強化し、最新のセキュリティパッチを適用することが重要です。また、ユーザー教育を通じて、フィッシング攻撃や不正アクセスに対する意識を高めることも必要です。今後の課題としては、脆弱性の早期発見と修正、そして攻撃手法の進化に対する適応が求められます。

解説

MiniPlasma:Windows Cloud Filesミニフィルタ(cldflt.sys)ゼロデイでSYSTEM奪取――「完全パッチ済み」でも崩れる前提

今日の深掘りポイント

  • Windows標準のクラウドファイル用ミニフィルタ(cldflt.sys)で、ローカル権限昇格ゼロデイ「MiniPlasma」が公表。最新パッチ適用環境でもSYSTEM権限を奪取できることが実証されました。
  • 2020年にGoogle Project Zeroが同系統の問題を報告し、一度は修正済みと理解されていた論点が未解決の経路として残存していた可能性があります。
  • 攻撃はローカル実行前提のEoP(Elevation of Privilege)で、初期侵入後の横展開・防御回避の加速剤として極めて実用的です。PoCが公開済みという点が運用上の緊急度を押し上げます。
  • cldfltはOneDriveのFiles On-Demandや他社クラウドクライアントの基盤(CfAPI)にかかる重要コンポーネント。無分別な無効化は業務影響が大きいため、資産別の選別対応が鍵です。
  • 直ちにベンダーパッチがない前提で、検知の強化(SYSTEM生成プロセスの親子関係監視、fltmc/fsutilの濫用監視)、高価値資産でのcldflt抑止、LSASS保護やWDAC/ASRの徹底など、多層での「被害価値の減殺」を優先すべきです。

はじめに

ゼロデイの権限昇格は、単独では見過ごされがちでも、実戦では「侵入直後のノイズを一気に消し去る」決定打になります。メール一本、脆弱な社内Web一つから入った攻撃者が、次の瞬間にはEDRの視界外でSYSTEMに化ける――MiniPlasmaはそんなストーリーを現実のものにする脆弱性です。しかも標準ドライバ(cldflt.sys)という“どこにでもある”土台に潜むため、リスクは広く薄く、しかし確実に組織の防御仮説を侵食します。編集部としては、いまは「大きく動かず、しかし速く準備する」局面だと考えます。被害価値を下げる整備を先行し、ベンダーパッチに備える姿勢が肝要です。

深掘り詳細

まず事実関係(公開情報ベース)

  • MiniPlasmaは、Windows Cloud Files Mini Filter Driver(cldflt.sys)に起因する権限昇格のゼロデイで、完全に最新パッチが適用されたWindows 11でもSYSTEM権限でのcmd.exe起動が可能であることが示されています。PoCが一般公開されていると報じられています。
  • Google Project Zeroの研究者が2020年に同種の論点を報告し、Microsoft側は修正済みと理解されていたものの、別経路が未修正のまま残っていた(または回避された)可能性が指摘されています。
  • 影響は広範なWindowsバージョンに及ぶ可能性があるとされていますが、正式なベンダーアドバイザリやCVEsは本稿執筆時点で報道以外では確認できていません。
  • 出典(報道):The Hacker News: MiniPlasma Windows 0-Day Enables SYSTEM Privilege Escalation Even on Fully Patched Systems

上記は報道ベースの整理で、一次情報(Microsoft公式アドバイザリやProject Zeroの詳細チケット)は未確認です。以降の分析・示唆は、この限定情報からの推測を含むことを明示します。

編集部の視点と示唆(推測を含む)

  • 類型と根本原因の仮説
    • cldfltはプレースホルダ(疎通ファイル)やリパースポイント処理、パス解決などI/Oの“またがり領域”に位置するミニフィルタです。この種のドライバ不備は、TOCTOU(チェックと使用の時間差)、リパース/シンボリックリンク解決の不備、特権コンテキストでの不適切な操作などが典型的な原因になりやすいです。MiniPlasmaもこの系譜にある可能性が高いと推測します。
  • 「直っていなかった」背景の見立て
    • 2020年報告の修正が“特定のコードパス”のみを覆っており、別の呼び出し経路や競合状態が温存されていた――というのはWindowsの巨大コードベースでは珍しくないシナリオです。テストがカバーしづらい競合条件や、設計上広く使われる抽象化レイヤの想定外な組み合わせが要因になった可能性があります。
  • 防御側の“前提崩し”
    • EDR/ログが十分な場合でも、ローカルEoPは「数秒」でゲームチェンジします。特にPoC公開後は、犯罪系のツールチェーンに短期間で取り込まれる傾向が強く、ゼロデイであっても“量産利用”のハードルは想像より低いです。現場は「初期侵入をゼロにする」より「侵入後の上方移動と資格情報損失をいかに遅延・減殺するか」に舵を切るべき局面です。

なお、メトリクス(緊急性・新規性など)の総合勘案としては、すでにPoCがあり、影響範囲が広い標準ドライバという性質から、短期的な運用対策の即応性を重視する一方、根本修正はベンダーに依存するという二層構えが妥当と見立てます。特に、影響が広範で分母が大きい反面、悪用はローカル前提という“現場のトレードオフ”が色濃い状況です。

脅威シナリオと影響

以下は編集部の仮説シナリオです。具体的な悪用手順に踏み込まず、現実的なオペレーション連鎖を想定します。

  • シナリオA:侵入直後のEoPで一気に支配域拡大

    1. フィッシング/水飲み場/脆弱プラグインから標準ユーザ権限で実行
    2. MiniPlasmaでSYSTEMに昇格
    3. EDR停止・例外化(あるいはサイレント化)、資格情報窃取
    4. 横展開(SMB、RDP、ADCS悪用など)と永続化の設置

  • シナリオB:EDR可視化の外側での“短時間仕事”

    1. 使い捨てのLOLBinでPoCを呼び出し
    2. 数十秒でSAM/SECURITY/ SYSTEMハイブの窃取またはLSASSメモリ取得(PPLが無効な環境で)
    3. 証跡削除後に離脱、後日クレデンシャルで静かに再侵入

  • シナリオC:サーバ・VDIの業務時間帯悪用

    1. 開発・設計端末(OneDriveやクラウド連携が濃い)で昇格
    2. ビルド・署名パイプラインやMECM/SCCMサーバへ横展開
    3. サプライチェーン型の汚染足がかりを確立

MITRE ATT&CK(仮説マッピング)

  • Privilege Escalation
    • T1068 Exploitation for Privilege Escalation
  • Defense Evasion
    • T1562.001 Impair Defenses: Disable or Modify Tools
    • T1211 Exploitation for Defense Evasion(広義)
  • Persistence
    • T1543.003 Create or Modify System Process: Windows Service
    • T1053.005 Scheduled Task/Job: Scheduled Task
  • Credential Access
    • T1003 OS Credential Dumping(LSASS/PPL迂回の可否は環境依存)
    • T1552.001 Credentials in Files(SAM/SECURITYレジストリハイブ)
  • Lateral Movement
    • T1021 Remote Services(SMB/RDP/WMI)
  • Discovery/Collection/Exfiltration
    • 標準的なTTP一式(組織次第で変動)

影響評価の観点

  • ドライバが標準搭載で分母が大きいこと、PoCの公表という「可用性の高さ」、そしてローカル前提ゆえ検知をすり抜けやすい実務的特性が、実害発生の確率を底上げします。一方で、VBS/WDAC/LSASS-PPL/特権分離が効いている環境では、SYSTEM奪取後の「価値最大化」に時間と工数を要し、被害は緩和されやすいです。組織の“事前の地ならし”が問われる案件です。

セキュリティ担当者のアクション

パッチが出るまでの“現実解”を優先順位つきで提案します。業務影響とのトレードオフを前提に、資産ごとに適応してください。

  1. 影響資産の棚卸と抑止(選別的)
  • まず「cldfltが業務的に必須か」を資産クラスで判定(一般クライアント、開発端末、サーバ、ドメインコントローラなど)。
  • サーバ/高位Tier(特にDC、特権運用端末)でOneDrive Files On-DemandやCfAPI依存がなければ、cldfltの一時的な無効化を検討(検証必須)。無効化は業務影響(プレースホルダファイルの不可視化やクラウド連携不具合)を招くため、限定的かつ可逆的運用が前提です。
  • 現場確認コマンド例(影響調査用)
    • fltmc filters(ミニフィルタ一覧にCldFltが存在するか)
    • sc query cldflt(サービス状態の確認) 変更や無効化の実装は必ず検証環境での回帰テストと、影響部門との合意形成を経てからにしてください。
  1. 権限・資格情報の“価値”を下げる(ベースライン強化)
  • LSASS保護を有効化(Protected Process Light/PPL、Credential Guard等)。SYSTEM奪取後の資格情報損失の価値を下げます。
  • WDAC/AppLockerでユーザ書き込み領域からの不明バイナリ実行を最小化。ASR(Attack Surface Reduction)でOffice由来やスクリプト乱用のプロセス生成・インジェクションを抑止。
  • 管理者権限のJIT/JEA化と記録化。標準ユーザ運用の徹底。RDP・PSRemoting・WMIのアクセス制御を厳格化。
  1. 監視・検知の即応強化(“SYSTEMの生まれ方”を見る)
  • EDR/ログで「SYSTEMプロセス生成の文脈」を可視化。
    • 典型的には、親がサービスホストやTrustedInstaller等でないのに、子がSYSTEM(cmd.exe、powershell.exe、schtasks.exe、sc.exe、reg.exe、rundll32.exeなど)で起動するパターンを優先監視します。
  • コマンド濫用の兆候
    • fltmc.exe(filters/instances/unload/attach/detach等)やfsutil.exe(reparsepoint操作)の異常な使用頻度・新規端末での初見利用を監視。
  • Microsoft Defender for Endpoint(MDE)ハンティング例(参考KQL)
    • SYSTEMで生成された“痕跡的”プロセス(親が非サービス系)の抽出
      DeviceProcessEvents
| where (AccountDomain !in~ ("NT AUTHORITY","NT SERVICE") and AccountName !in~ ("SYSTEM","LOCAL SERVICE","NETWORK SERVICE"))
  or InitiatingProcessAccountName !in~ ("SYSTEM","LOCAL SERVICE","NETWORK SERVICE")
| where AccountName in~ ("SYSTEM") or IntegrityLevel == "System"
| where FileName in~ ("cmd.exe","powershell.exe","rundll32.exe","reg.exe","schtasks.exe","sc.exe")
    • fltmc / fsutil の濫用痕跡
      DeviceProcessEvents
| where FileName in~ ("fltmc.exe","fsutil.exe")
| where ProcessCommandLine has_any ("filters","instances","reparsepoint","cldflt","unload","attach","detach","query")
  • Windowsイベント/ログ
    • セキュリティ4688(プロセス作成)でSYSTEM生成プロセスの親を点検。
    • Sysmon(有効な環境)でEvent ID 1(プロセス作成)、6(ドライバ読み込み)、7(イメージロード)を活用し、cldflt関連の操作やSYSTEMでの短命プロセスを捕捉。
    • Microsoft-Windows-FilterManager系ログの運用チャネルを必要に応じて有効化し、cldfltの異常やエラー多発を補助指標として確認(環境依存、出力量に留意)。
  1. 高価値資産の隔離と段階的コントロール
  • ドメイン管理端末/サーバ群では、OneDrive/CfAPI機能の利用有無を整理し、不要ならば段階的に抑止。仮にcldfltを無効化しない場合でも、インターネット同期クライアントの導入範囲を必要最小限に制御。
  • 開発・ビルド・署名系のサプライチェーン端点は、WDACの厳格プロファイル化とネットワーク分離度の引き上げを最優先。
  1. レスポンスとコミュニケーション
  • レッドチーム/ピープル対策
    • 社内擬似演習で「ローカル侵入→EoP→資格情報窃取→横展開」のRTO/RPOを測る。何分で何が守れたかの実測を重視。
  • PoC入手の是非と取り扱い
    • PoCの一般入手性が高いときほど、検出ロジックの検証は必要ですが、運用部門にツールを横展開せず、検証環境に限定・保管ポリシー厳格化を徹底。
  1. パッチ後にやるべき“後始末”
  • ベンダー修正適用後も、攻撃面の縮退(WDAC/ASR、PPL、権限分離)は維持すること。EoPは形を変えて何度も現れます。今回の学びを“構造的に”残す運用改善に昇華してください。

参考として、今回のゼロデイは「初期侵入が起きた前提で、どれだけ上側の価値を削れるか」の勝負です。ミニフィルタの不具合は根治がベンダー依存である一方、資格情報の価値を落とす・SYSTEM生成プロセスの文脈を掴む・クラウド連携基盤の露出を下げる、という三点は今日から着手できます。小さな手当の積み重ねが、明日の大きな事故を鈍らせます。

参考情報

背景情報

  • i MiniPlasmaは、Windows Cloud Files Mini Filter Driverに関連する脆弱性であり、特定のルーチンにおいて攻撃者がSYSTEM権限を取得できる問題があります。この脆弱性は、Google Project Zeroの研究者によって2020年に報告され、Microsoftは修正したと考えられていましたが、実際には未修正のままであることが確認されました。
  • i この脆弱性は、特にWindows 11の最新アップデートを適用したシステムで確認されており、攻撃者がcmd.exeをSYSTEM権限で開くことができることが報告されています。これにより、攻撃者はシステムに対して広範な操作を行うことが可能になります。
Packet News 一覧へ戻る