マイクロソフトは火曜日に130以上のセキュリティ脆弱性に対するパッチを発行し、同社の年間記録を破る軌道上にあります。同社のセキュリティリーダーシップは、AIツールが業界全体の脆弱性発見の急増を促進していることを認めています。
2026年の最初の5ヶ月で、マイクロソフトは既に500以上の脆弱性にパッチを当てています。ただし、分析者がEdge、Chromium、および月の早い段階で配信された修正を含めるかどうかに応じて、正確な月次カウントは異なります。
4月のリリースはマイクロソフトのセキュリティ更新ガイドによると173の脆弱性に対応し、5月のリリースは137以上で続きました。マイクロソフトセキュリティレスポンスセンターのエンジニアリング副社長トム・ガラハーは、ブログ投稿で、同社はリリースがより大規模なトレンドを続けることを予想していると述べました。
「マイクロソフトのエンジニアと広範なセキュリティコミュニティは、数年前でさえ実用的ではなかったほど慎重に、かつより頻繁にソフトウェアを検査するために、ますますAIを使用しています」と彼は書きました。
「AIは脆弱性発見の規模とスピードを変えており、これは運用上の要求を増加させ、ペースに応じた一貫した規律あるリスク管理が必要です。問題はより速く発見および軽減できます。」
火曜日のリリースに並行して、マイクロソフトは公開で発表した独自のソフトウェア内のセキュリティ欠陥を探すために内部で使用してきた新しいAIシステム。MDASH というコード名のシステムは、今月パッチされた脆弱性の16個を発見しました。これには、人間の研究者によって最初に特定されていない4つの重大として評価されたものが含まれています。
未知のコードに展開する前にMDASHを検証するため、マイクロソフトは人間の研究者が既に発見して確認していた5年間のセキュリティ欠陥を遡及的に実行しました。このテストはWindows の最も詳しく調査された2つの内部コンポーネントで実施されました。
このようなテスト(レトロスペクティブリコール)は、システムが以前に既知の欠陥を独立して再発見できるかを測定するもので、答えが既に分かっていないコード上のセキュリティツールを信頼する前に検証する標準的な方法です。MDASHは1つのコンポーネントで既知の欠陥の96%を発見し、もう1つのコンポーネントではすべてを発見しました。
「私たちは業界の一瞬にいます。AI駆動型の脆弱性発見は、投機的であることを停止して、エンジニアリングの問題になります」と同社は述べています。「このパッチ火曜日の調査結果と、5年間のCLFSMSRCケースの遡及的リコールは、AI脆弱性の調査結果がスケール可能であることを示しています。」
パッチ波が拡大
これはイギリスの国家サイバーセキュリティセンターが先月警告した時に来ます。組織は、AI支援の脆弱性発見によって駆動される緊急のソフトウェア更新の急増に備える必要があります。
Appleも、Anthropicによって開発されたコード内のセキュリティ脆弱性を特定するために使用されるAI機能であるProject Glasswingへの早期アクセスが与えられました。月曜日の最新の更新で52の脆弱性に対応しました。
Glasswingの参加者でもあるOracleは、4月末に重大なセキュリティ問題については四半期ごとから月次のパッチサイクルに切り替えることを発表しました。Googleは火曜日のマイクロソフトリリースと同じ日に127のChromeセキュリティ修正をリリースしました。前月の30から増えています。
マイクロソフトが最優先度として指摘した脆弱性の中には、企業ネットワーク全体の認証を処理するサーバープロセスであるWindows Netlogonで追跡されているCVE-2026-41089という欠陥があります。また、Windows DNSクライアントで追跡されているCVE-2026-41096という別の欠陥があります。
どちらも重大度が10点中9.8と評価される重大な問題です。Netlogonの脆弱性は、ドメインコントローラーとして機能するWindowsサーバーへの特別に作成されたネットワーク要求によってトリガーされる可能性があり、攻撃者がサインインしたり以前のアクセスを持つ必要なくコードを実行できる可能性があります。マイクロソフトは述べています。
DNS欠陥について、マイクロソフトは「特定の構成では、これにより攻撃者が認証なしで影響を受けるシステム上でコードをリモート実行できる可能性がある」と述べ、脆弱な構成を指定していません。
3番目の重大な脆弱性(9.9と評価され、CVE-2026-42898として追跡される)は、Microsoft Dynamics 365のオンプレミスインストールに影響します。不適切なコード生成制御により、認定された攻撃者がネットワーク上でコードを実行できる可能性があります。
今年の初期にHackerOneは、オープンソースのバグバウンティプログラムを一時停止しました。「脆弱性発見の悪化するアンバランスと、オープンソース保守管理者がそれを修復する能力」を理由としていました。
月曜日に、Googleの脅威インテリジェンスグループが個別に報告したことは、計画された大量搾取キャンペーンでAI開発のゼロデイエクスプロイトを使用する脅威アクターの最初の既知の事例だと説明されました。Googleは攻撃が始まる前にキャンペーンを妨害したと信じていると述べました。
パッチリリースの急増、2つのLinuxカーネルの脆弱性—Copy FailおよびDirty Frag—過去2週間で開示されたもの。これらはガラハーがソフトウェア業界全体で「脆弱性発見のペースと幅」の増加だと述べたことを示しています。
「それはおそらく近期では遅くなる可能性は低いです」とガラハーは追加しました。「パッチ適用、曝露管理、およびアイデンティティプラクティスがそのペースで進化した組織は、この変更をより容易に吸収します。その他の組織は、より遅い動きの環境用に設計されたプラクティスを詳しく見直す必要があるかもしれません。」
翻訳元: https://therecord.media/microsoft-on-pace-to-break-annual-vulnerability-record-ai
