ゼロデイ脆弱性とフルディスクロージャーとは何か——RoguePlanetを題材に

Posted at 2026-06-10

2026年6月9日、あるセキュリティ研究者のブログに短い投稿が公開された。

「7月14日に予定していたゼロデイの大量公開はできなくなった。
RoguePlanetが予想以上に時間を取られた。」

その翌日、RoguePlanetはリリースされた。

「ゼロデイ」「フルディスクロージャー」「SYSTEM権限昇格」——
これらの言葉を知らないと、何が起きているかまったくわからない。
この記事で整理する。

ソフトウェアには必ずバグがある。
そのバグのうち、開発者がまだ把握していない、またはパッチが存在しないものを
ゼロデイ脆弱性という。

「ゼロデイ（0-day）」の名前の由来は「開発者が対応できた日数がゼロ」という意味だ。

パッチが存在しないということは、攻撃者が使っても誰も防げない状態を意味する。
そのため、ゼロデイ脆弱性は企業や政府機関が高額で買い取ることもある。

ゼロデイ脆弱性の悪用は違法であり、倫理的にも重大な問題がある。
この記事はあくまで仕組みの解説を目的としている。

脆弱性を発見したとき、どう扱うかには大きく3つの立場がある。

① 責任ある開示（Responsible Disclosure）
発見した脆弱性を開発者に非公開で報告し、パッチが出てから公表する。
現在の主流とされる方法で、多くの企業がバグバウンティプログラムを設けている。

② フルディスクロージャー
開発者への通知に関わらず、脆弱性の詳細を即座に公開する方法。
「公開されることで開発者が素早く動く」「隠蔽を防ぐ」という思想が背景にある。

③ 非公開のまま保持
脆弱性を自分だけが持ち続ける。悪用や売買につながるリスクがある。

フルディスクロージャーは一概に悪ではない。
開発者が報告を無視し続けた場合の最終手段として機能することもある。
ただしパッチが出る前の公開は悪用リスクを高めるという批判も根強い。

今回の中心人物はNightmare Eclipse（別名：Chaotic Eclipse、Dead Eclipse）という
匿名のセキュリティ研究者だ。

2026年4月3日以降、約10週間で7つのWindowsゼロデイを公開している。
BlueHammer、RedSun、UnDefend、YellowKey、GreenPlasma、MiniPlasma、そしてRoguePlanetだ。

Microsoftとの間には確執があり、脆弱性の開示プロセスとバグバウンティの扱いへの不満から
フルディスクロージャーを続けているとされる。

MicrosoftはGitHub上の研究者のアカウントを停止し、RoguePlanetは新しいアカウントで公開された。

RoguePlanetはMicrosoft Defenderの競合状態の脆弱性を突くもので、
完全にパッチが適用されたWindows 10およびWindows 11上でSYSTEM権限のシェルを起動できる。

SYSTEM権限とはWindowsで最も高い権限のことだ。
これを取得されると、PCをほぼ完全に制御される状態になる。

複数の研究者がこのPoCが実際に動作することを確認している。

6月9日のブログ投稿では「RoguePlanetが予想以上に時間を取られた」と書かれていた。

研究者自身も「RoguePlanetを機能させるために書き直す作業が精神的に消耗した」と述べている。

その翌日、RoguePlanetはリリースされた。
7月14日に予告されていた別のゼロデイ群の大量公開が中止になったという意味だ。

2ヶ月連続でMicrosoftのPatch Tuesday直後にゼロデイを公開するという行動パターンが注目を集めている。

一人の研究者が10週間で7つのゼロデイを公開するペースは異例だ。
Microsoftとの個人的な確執が背景にあるとはいえ、
パッチのない脆弱性が公開された状態が続いていることは、すべてのWindowsユーザーへのリスクでもある。

「公開する自由」と「悪用されるリスク」のバランスは、
セキュリティの世界で今も答えが出ていない問いだ。

「誰でもわかるセキュリティの話」 シリーズでは、
ニュースで見かけるけど意味がわからないセキュリティ用語を言語化していきます。

👉 ストックをフォローしておくと次の記事を見逃しません！