マイクロソフトは6月のPatch Tuesdayリリースで新記録を打ち立てました。自社製品全体にわたる206件のCVEに対処してパッチを提供しており、そのうち38件がクリティカル、残りは重要と評価されています。3件は公開済みとして記載されていますが、現時点では実際の攻撃への悪用は確認されていません。
これらの6月のバグがどれほどAIツールによって発見されたのかは定かではありません。先月のパッチイベントでは、レドモンドが137件の脆弱性のうち16件をエージェント型バグハンティングシステムが発見したと公表しましたが、今回の新規リリースについてはAIの貢献に関する言及がありません。
とはいえ、AIが重要な役割を担ったと考えて間違いないでしょう。マイクロソフト セキュリティ レスポンス センターのエンジニアリング担当バイスプレジデント、トム・ギャラガー氏は、クリティカルな欠陥が実に30件あった5月のPatch Tuesdayについてこう述べていました。「リリースはしばらくの間、大規模化の傾向が続くと見込んでいます」
6月のPatch Tuesdayは総件数とクリティカルバグの両面で5月を上回り、ギャラガー氏の見通しが正しかったことを証明しました。
「2017年からPatch TuesdayのCVE数を集計してきましたが、今回はその期間で断然最大の月次リリースです」と、Zero Day InitiativeのチーフバグハンターであるダスティンChildsがレビューで述べています。
「マイクロソフトが1か月でこれほど多くのパッチを作成できることは驚異的ですが、懸念も生じます」とチルズ氏は付け加え、本誌と同様に問いかけています。「AIによって何件が発見されたのでしょうか?」
さらに、「コーディングやテストを支援するAIを使って何件のパッチが生成されたのでしょうか?これらのパッチにはどのような品質上の問題が存在する可能性があるのでしょうか?そして、おそらく最も重要な問いとして、これが新たな標準となるのでしょうか?」と続けています。
チルズ氏は、5月と4月もメガリリースだったと指摘しています。
「システム管理者はこの新たな更新件数に基づいて、優先順位付けとパッチ展開のプロセスを見直すべきでしょうか?残念ながら、マイクロソフトは現時点ではその答えを提供していません」とチルズ氏は記しており、さらにこんな豆知識も添えています。「今年マイクロソフトが出荷したCVEの総数は、2018年一年間に出荷されたCVEの総数をすでに超えています」
これには驚かされます。
純粋に憶測の観点から眺めれば「マイクロソフトは来月300件を超えるのか?」と興味深くもありますが、AIがもたらした脆弱性の大洪水(vulnpocalypse)に今やおぼれかけているシステム管理者や脆弱性管理チームに心からの同情を禁じえません。
Patch Tuesdayのセキュリティホールは現時点ではいずれも攻撃下にあるとは記載されていませんが、3件が公開済みとして記載されています。まずそれらを見てみましょう。
3件の既知の脆弱性
CVE-2026-49160は、今月初めに本誌が報じたHTTP.sysのサービス拒否脆弱性です。カリフォルニア州の研究者クアン・ルオン氏がOpenAIのCodexエージェントの支援を受けてこの攻撃を発見し、「HTTP/2 Bomb」と命名しました。HTTP/2ヘッダー圧縮アルゴリズムを悪用し、数千件の小さなメッセージをサーバーに送信することでサーバーに急速なメモリ割り当てを強制し、最終的にクラッシュさせるものです。
当時、マイクロソフトの広報担当者はThe Registerに対し、レドモンドは「認識しており、適切な緩和策を積極的に調査中だ」と述べていました。火曜日、同社は新たなMaxHeadersCountレジストリ設定を導入することでこのセキュリティ問題を修正しました。この設定により、HTTP/2およびHTTP/3リクエストに含まれるヘッダーの数を制限でき、サービス拒否攻撃を防止できるはずです。
CVE-2026-50507は、Windows BitLockerのセキュリティ機能バイパスバグで、公開済みとして記載された2件目のCVEであり、「悪用の可能性がより高い」とされています。アドバイザリによれば、脆弱なシステムへの物理的なアクセスを持つ攻撃者がBitLockerデバイス暗号化機能をバイパスし、デバイスの暗号化データにアクセスできる可能性があります。
この欠陥は、「ナイトメア・エクリプス」として知られる不満を持つバグハンターとマイクロソフトの継続中の争いの中で公開されたゼロデイに対するパッチとも思われます。おそらく5月に公開されたYellowKey脆弱性への対応でしょう。ナイトメア氏はこれまでに6件のゼロデイについての詳細を公開し、場合によっては完全なコンセプト実証(PoC)エクスプロイトコードも公開しています。また、マイクロソフトとのいさかいの末、6月14日に「骨も砕けるような」リリースを予告しています。
3件目の公開済みバグであるCVE-2026-45586は、Windows Collaborative Translation Framework(CTFMON)の権限昇格脆弱性です。認証済みの攻撃者がローカルで権限を昇格させてSYSTEMアクセスを取得するために悪用される可能性があります。そこから悪意ある者がマルウェアを展開し、データを窃取し、被害者の環境内で横展開することができます。このパッチはできるだけ早く適用してください。
さらに注目すべきクリティカルバグ(38件中2件)
マイクロソフトがパッチを発行する前に公表されていた上記3件の既知の脆弱性に加え、今月はCVSSスコア9.8のクリティカルと評価されたセキュリティ欠陥のうち2件が特に注目に値します。
1件目のCVE-2026-45657は、Windowsカーネルのリモートコード実行(RCE)バグです。リモートの未認証攻撃者がユーザーの操作なしにシステムレベルの権限でコードを実行できます。Windowsカーネルの一部のTCP/IPデータ処理にエラーがあり、脆弱なWindowsシステムに悪意あるネットワークパケットを送信することで欠陥をトリガーし、悪用することができます。
レドモンドによって「悪用の可能性は低い」と記載されていますが、チルズ氏の反応は的を射ています。「地球上のすべての研究者とバグショップが今まさにこのパッチをリバースエンジニアリングし、エクスプロイトの作成を試みていると思って間違いありません」と同氏は述べています。「このパッチを早急にテストして展開してください」
CVE-2026-47291は、同じくCVSSスコア9.8を獲得したHTTP.sysのRCE脆弱性です。ユーザーの操作なしでトリガーできる点と、マイクロソフトが悪用の可能性が「より高い」と述べている点から、特に注意が必要です。
パッチ管理ベンダーAction1のCEOおよび共同創業者であるアレックス・ボウク氏はThe Registerに対して、「HTTP.sysはHTTPトラフィックを処理するWindowsサービスで使用されているため、この脆弱性は深刻なビジネスリスクをもたらします」と述べています。「攻撃が成功した場合、サーバーの乗っ取り、マルウェアの展開、データ窃取、サービス妨害、そして環境全体への横展開につながる可能性があります。インターネットに面したシステムは特にリスクにさらされています」
朗報もあります。WindowsのHTTPスタックのデフォルトのMaxRequestBytesレジストリ値を使用しているシステムは影響を受けません。アドバイザリでは、レジストリ設定の編集方法に関する詳細な手順が提供されており、パッチの展開中に管理者が時間(とセキュリティ)を確保するために活用できます。®
翻訳元: https://www.theregister.com/patches/2026/06/09/ai-is-making-patch-tuesday-kinda-fun-again/5253225
