マイクロソフト重大脆弱性が倍増：露出から昇格へ

著者：BeyondTrust最高セキュリティアドバイザー Morey J. Haber およびBeyondTrust フィールド最高技術責任者 James Maude

2026年マイクロソフト脆弱性レポートで分析された通り、マイクロソフトは2025年に1,273個の脆弱性を公開しました。これは前年の1,360個から減少しています。良いニュースは、マイクロソフトの脆弱性総数が2020年から2026年まで安定した範囲内に留まっているように見えることです。

しかし、これらの数字は注視すべき指標ではありません。重大脆弱性は前年比で倍増し、78個から157個に急増し、複数年の下降トレンドを逆転させました。

脆弱性総数の安定性は、影響の不安定性を隠しており、組織はこの点に注目すべきです。

このデータで最も重要な手がかりは、脆弱性がいくつ公開されたかではなく、どこに集中しているか、そして脅威行為者が潜在的に何に悪用する可能性があるかです。

リスクが集中している場所

権限昇格脆弱性の支配（すべてのCVEの40%を占める）と情報漏洩欠陥の73%上昇を組み合わせると、攻撃者が騒々しい悪用よりも隠密性と偵察を優先していることが分かります。

権限は脆弱性がデータ侵害に変わる場所です。脅威行為者は、静かにアクセスを昇格させ、正当な認証情報とLiving Off the Landの戦術を使用してラテラルムーブメントを実行できれば、騒々しい悪用や大規模なマルウェアキャンペーンを必要としなくなります。

このトレンドは実際のデータ侵害パターンと一致しており、初期アクセスはしばしば平凡ですが、過度な権限、設定ミス、および弱い身元管理を通じて影響が増幅されます。

これがクラウドとビジネスプラットフォームほど懸念される場所はありません。マイクロソフトAzureとDynamics 365は脆弱性総数は若干減少しましたが、重大脆弱性は劇的に急増し、1年間で4個から37個に跳ね上がりました。

クラウドプラットフォームはもはや単なるインフラストラクチャではありません。ビジネス運用に不可欠であり、身元およびアクセス管理、ビジネス自動化、エンタープライズ全体のコントロールプレーンを含む、幅広いサービスを提供します。

これらの環境における重大な欠陥は、データ露出を超える意味を持ちます。ワークフロー全体（そして最終的にはビジネス運用）を麻痺させ、マシンスピードで信頼境界を崩壊させる可能性があります。クラウド脆弱性が重大になると、爆発範囲が定義的なリスク指標になります。

実際には、Azureの単一の設定ミスがある身元が、攻撃者にテナント全体のキーを手渡す可能性があり、ほとんどの組織は被害が起こるまで気付きません。2025年7月にパッチが当たった重大なEntra IDの欠陥CVE-2025-55241は、これを正確に示しました。攻撃者はどのテナントでも受け入れられるトークンを偽造でき、被害者ログに痕跡を残しません。

エンドポイントとサーバ側では、結果は複雑ですが、依然として深刻です。マイクロソフトWindowsの脆弱性総数は減少しましたが、重大数は頑固に一貫しており、驚くほど高いままです。マイクロソフトWindowsサーバの脆弱性は780個に増加し、50個が重大に分類されています。サーバは高い価値目標のままです。なぜなら、多くの場合、昇格された権限で実行され、共有サービスをホストし、さまざまなビジネスインフラストラクチャの基盤を提供するためです。

脅威行為者は、サーバを侵害することがデスクトップだけを侵害することより高速で深いアクセスを提供することが多いことを理解しています。これはCISO から一貫して聞く常套句です：「すべての重大脆弱性にパッチを当てたのに、なぜまだデータ侵害を受けているのか？」このデータがなぜそうなのかを説明します。

おそらくデータで最も注目すべき変化は、生産性ソフトウェアに関するものです。マイクロソフトOffice脆弱性は前年比234%急増し、47個から157個に上昇し、重大脆弱性は3個から31個に跳ね上がりました（昨年から10倍増加）。

マイクロソフトOfficeは、人間の行動、日常業務、ビジネス継続性の交差点に位置するため、最も悪用される攻撃面の1つのままです。

マクロ、ドキュメント共有、プレビューペイン、HTMLレンダリング、新しいAI機能、およびアドインは、悪用の独特なランドスケープを作成します。Office脆弱性がスパイクすると、ユーザーは社会工学を通じた最も信頼性の高いエントリポイントのままです。

カテゴリトレンドは明確なパターンを強化します。権限昇格と情報漏洩が一緒に上昇しています。攻撃者は隠密性と偵察を優先しており、脅威行為者が自分のチームよりもあなたの環境をよく知っている場合、その後のすべての侵入がより簡単になります。

組織が実施すべきこと

すぐに実施すべき防御優先事項は、次のパッチサイクル前に爆発範囲を狭めることです。つまり、常設管理者権限を監査し、サービスアカウントとAIエージェントを人間の身元と同じ精査で扱い、Windowsプレビューペイン（2025年に7つのCVEがエントリポイントとして悪用）を無効にすることです。

組織にとって、結論は明確です。パッチ管理だけでは不十分であり、組織は権限昇格、身元悪用、およびラテラルムーブメントを可能にする脆弱性を優先する必要があります。これには、文脈、悪用に関する知識、MITRE ATT&CKなどのフレームワークへのマッピング、およびCVSSスコアだけではなく、が必要です。また、クラウド、エンドポイント、サーバ、および生産性レイヤー全体の信頼の仮定を再考することも必要です。

これより先にいる組織は、単により高速にパッチを当てているだけではありません。クラウドファーストの環境で権限が何を意味するかについて異なる考え方をしています。

Morey J. Haber、BeyondTrust最高セキュリティアドバイザー

Morey J. HaberはBeyondTrustの最高セキュリティアドバイザーです。最高セキュリティアドバイザーとして、Moreyはセキュリティと技術の主要な伝道者です。彼はIT業界で25年以上の経験を持ち、5冊の書籍を著しています：Attack Vectors: The History of Cybersecurity、Privileged Attack Vectors、Asset Attack Vectors、Identity Attack Vectors、Cloud Attack Vectorsです。Moreyは以前、ほぼ13年間のBeyondTrustでの任期中に、最高セキュリティ責任者、最高技術責任者、および製品管理の副社長を務めました。2020年、MoreyはIdentity Defined Security Alliance (IDSA)エグゼクティブアドバイザリーボードに選出され、企業コミュニティがセキュリティベストプラクティスを支援するのを支援しました。彼はもともと2012年にeEye Digital Security買収の一部としてBeyondTrustに参加し、2004年以来製品所有者およびソリューションエンジニアとして務めました。eEyeの前は、飛行およびトレーニングシミュレーター建設企業の信頼性と保守性エンジニアでした。Moreyはストーニーブルック州立大学の電気工学の理学士号を取得しています。

James Maude、BeyondTrust フィールド最高技術責任者

James MaudeはBeyondTrustのフィールド最高技術責任者（FCTO）です。学界と業界の両方でセキュリティ研究での広範な経験を持つJamesは、進化するセキュリティランドスケープの攻撃ベクトルとトレンドを特定するために、過去10年間サイバー脅威を分析してきました。彼はセキュリティコミュニティの活発なメンバーであり、セキュリティで違いを生み出している人々に光を当てるポッドキャスト「Adventures of Alice and Bob」をホストしています。サイバーセキュリティの専門家音声として、彼は国際的なイベントで定期的にプレゼンテーションを行い、脅威と防御戦略について議論するウェビナーをホストしています。