Microsoftが2026年6月にリリースしたパッチチューズデーには、過去最多となる206件の固有CVEに対する修正が含まれており、AIが脆弱性発見を加速させる中で、企業にとって急速に「新たな常態」となりつつある状況を示す最新事例となっています。
この大規模なアップデートに含まれる脆弱性のうち3件は、既に公表済みのゼロデイ脆弱性です。これらは、Microsoftが「Exploitation More Likely(悪用される可能性が高い)」と指定した13件の脆弱性群の一部であり、組織にとって短期的なリスクが高まっていることを示しています。また、今回のアップデートには32件のクリティカルな深刻度を持つ脆弱性も含まれており、そのうち5件はCVSSスコアが10点満点中9.0以上に達しています。
既公表の3件とその他の優先度の高い脆弱性
最近の傾向と同様、今回のリリースでも、リモートコード実行(RCE)脆弱性や権限昇格(EoP)脆弱性の割合が引き続き高くなっています。それ以外の比較的まれな脆弱性の種類としては、サービス拒否(DoS)状態の引き起こし、データ窃取、セキュリティ機能のバイパスを可能にするものがあります。
セキュリティ研究者たちは、既公表の3件の脆弱性について即時対応が必要と指摘しています。この3件は、CVE-2026-45586(CVSS: 7.8)——Windows Collaborative Translation Framework(CTFMON)における権限昇格(EoP)バグで、攻撃者がSYSTEMレベルの権限を取得できる——、CVE-2026-49160(CVSS: 7.5)——Windows.sysにおけるサービス拒否バグ——、そしてMicrosoftのBitLockerセキュリティ機能のバイパスを可能にするCVE-2026-50507(CVSS: 6.8)の3件です。
Cohesityのセキュリティリサーチ部門責任者であるAmol Sarwate氏は、今月のリリースの中で最大深刻度に近い2件の脆弱性を最優先事項として挙げています。1件はWindows HTTP.sysにおけるRCE脆弱性CVE-2026-47291(CVSS: 9.8)、もう1件はWindows DHCPクライアントサービスにおけるCVE‑2026‑44815(CVSS: 9.8)です。「CVE-2026-47291は最優先で対処すべき脆弱性です。認証なしの攻撃者がユーザーの操作なしにリモートからシステムを完全に侵害できるため、ワーム化する可能性があります」とSarwate氏は声明の中で警告しています。「CVE‑2026‑44815も同じカテゴリーに属します。DHCPクライアントは実質上あらゆるWindowsエンドポイントで動作しており、攻撃対象領域が非常に広大です」とも述べています。
Action1の研究者たちは、Windows Graphics Componentにおける2件のクリティカルなRCEバグ——CVE-2026-44812(CVSS: 7.8)とCVE-2026-44803(CVSS: 7.8)——、およびWindows Deployment ServicesにおけるRCEであるCVE-2026-42987(CVSS: 8.1)を優先的に対処すべき脆弱性として挙げています。同社はCVE-2026-44812を“システム完全侵害への入り口」と表現し、CVE-2026-44803については、プレビュー操作1回で「コード実行の扉を開く」ものと説明しています。
注目すべき点として、Microsoftの6月更新プログラムには、「Nightmare Eclipse」というハンドルネームを持つ不満を持つセキュリティ研究者が最近公表した複数の脆弱性に対する修正は含まれていないようです。YellowKey、GreenPlasma、MiniPlasmaとして追跡されているこれらの脆弱性は、セキュリティ機能のバイパスや権限昇格を含む幅広い悪意ある行動を可能にするものです。
不吉な前兆か
Microsoftの2026年6月パッチチューズデーのリリース規模は、2025年10月に記録した従来の最多記録である175件を大幅に上回っています。先月、MicrosoftエンジニアリングのバイスプレジデントであるTom Gallagher氏は、AIツールが前例のない速度と規模で脆弱性発見を可能にしているため、このような規模のリリースが新たな常態になりうると警告していました。
「パッチチューズデーのリリースが50〜70件のCVEだった時代は過去のものになったと、私はかなり確信しています」と、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は述べています。「2026年の残りとそれ以降に向けて、パッチチューズデーでは少なくとも毎月100件超のCVEが標準になると予測しています」と同氏はDark Readingへのコメントの中で予測しています。
セキュリティチームにとっての課題は、Claude Mythos、GPT 5.5、DeepSeek v4などのAIモデルがより身近になるにつれて、攻撃者がNデイ脆弱性や既知の脆弱性を兵器化するスピードだと同氏は言います。「これらの進展は、個人による単独活動への参入障壁だけでなく、コストも引き下げます。」
FortraのセキュリティR&D担当アソシエイトディレクターであるTyler Reguly氏は、パッチの件数だけに圧倒されないよう組織に注意を促しています。「今月は206件のCVEがありますが、そのうち公開済みは3件のみで、悪用が確認されたものはゼロです」と同氏はDark Readingに指摘しています。「つまり、エクスプロイトの積極的な開発が今まさに始まったわけです。ゼロデイクロックを信じるなら、平均エクスプロイト時間は21.5時間ということになります。」
冷静な視点で捉える
過去の前例から判断すると、現実にはこれらのCVEの大半が悪用されることはないとReguly氏は付け加えます。CVEに関する統計によると、2023年にCISAの既知悪用脆弱性(KEV)リストに登録されたのは28件、2024年は32件、2025年は30件でした。「年平均30件、月平均2.5件という数字は非常に明確です」と同氏は言います。2026年に入ってからこれまでに15件のCVEがKEVに登録されており、6月更新プログラムの既公表3件がカタログに追加されたとしても、年央時点での合計は18件——月平均3件——にとどまります。「平均からそれほど外れているわけではありません。AIが確かに変化をもたらしているのは事実ですが、今のところはわずかな違いに過ぎません。」
セキュリティチームへのメッセージは、基本に立ち返ることだとReguly氏は言います。「どれだけ努力しても、パッチ適用だけでセキュアな環境を実現することはできません。それはあくまで一つのレイヤーに過ぎません」と同氏は指摘します。「システムの堅牢化、EDR(エンドポイント検出・対応)やDLP(データ損失防止)などの技術によるエンドポイント保護、そしてシステムログの監視も必要です。」
DarktracのシニアバイスプレジデントであるJustin Fier氏も同様の見解を示しています。AIを活用した脆弱性発見により、脆弱性の発見数は今後も増加が見込まれます。「毎月200件以上のパッチに達するかどうかよりも重要なのは、セキュリティチームが評価と対応を要する脆弱性の、より大量かつ継続的な流れに対処しなければならないという事実です。」
しかしそれは、公表されたすべての脆弱性が直ちに機能するエクスプロイトになることを意味するわけではありません。「エンタープライズのセキュリティチームにとっての教訓は、単に『パッチを素早く適用する』ということではありません。パッチ適用は引き続き不可欠ですが、それだけでは十分ではありません」と同氏は指摘しています。一部の脆弱性が修正できる速度よりも早く発見・悪用されることを、組織は想定しておく必要があります。「つまり、セキュリティチームとITチームは、この環境が要求するスピードとスケールで対応できるよう、環境への可視性向上、優先順位付けの明確化、そして安全な自動化を実現しなければなりません。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/blame-ai-patch-tuesday-record-206-cves
