月次のWindowsセキュリティ更新プログラムが専門的な管理者の間を超えて注目を集めることはほとんどありませんが、2026年6月のリリースは近年まれに見る大規模なアップデートとなりました。Microsoftは今回の更新サイクルで、200件に上る個別の脆弱性を修正しています。特筆すべき点として、この大規模リリースには公開済みのゼロデイ脆弱性が3件含まれていました。ただし、公式のテレメトリデータによると、現時点では野生での積極的な悪用の痕跡は確認されていないとのことです。
深刻な脅威の全体像
今回の包括的な6月更新プログラムには、33件のクリティカル脆弱性に対する重要な防御策が盛り込まれています。これらの深刻な欠陥の大部分は、リモートコード実行を可能にするものです。この危険な仕組みにより、外部の攻撃者がネットワーク経由で不正なコマンドを実行できるようになります。また、特別に細工されたデータ入力を利用してこの実行ルーティンを引き起こす手口も確認されています。残りのクリティカルな脆弱性は、主にローカルでの権限昇格や情報の不正取得に関するものです。
ゼロデイ脆弱性の詳細分析
GreenPlasmaによる権限昇格
注目すべき脆弱性のひとつが、CVE-2026-45586として正式に識別されたものです。この欠陥のCVSSスコアは7.8と高く、Windows Collaborative Translation Framework(協調翻訳フレームワーク)に存在します。このネイティブサブシステムは主にユーザーのテキスト入力や多言語機能を管理するものですが、この構造上の欠陥により、ローカルの攻撃者がシステム権限を最上位のSYSTEMレベルまで昇格できる状態でした。研究者たちは、今回のソフトウェア更新を「GreenPlasma」と呼ばれていた既知の脆弱性攻撃手法と直接関連づけています。
HTTP/2爆弾によるサービス妨害
2件目の公開済み脆弱性はCVE-2026-49160と命名され、HTTP.sysドライバに直接影響を与えるものです。CVSSスコアは7.5で、「HTTP/2爆弾」とも呼ばれるこの脆弱性は、HTTP/2ヘッダーの独自の処理アーキテクチャを悪用します。具体的には、ごく小さなデータペイロードを送り込むだけで、ホストサーバーが膨大なメモリを確保しようとする状態を引き起こします。これにより、攻撃者はシステムリソースを意図的に枯渇させ、サーバーを深刻なダウン状態に追い込むことが可能です。
YellowKeyによるBitLocker回避
3件目のゼロデイ脆弱性は、BitLocker内の深刻な暗号化回避の問題です。CVE-2026-50507として登録されており、深刻度スコアは6.8です。「YellowKey」とコードネームが付けられたこの欠陥は、デバイスへの物理的なアクセス権を持つ攻撃者が、暗号化されたドライブを突破することを可能にします。具体的には、Windowsの回復環境を利用してこの回避を実行します。アナリストたちは、このリスクが主にWindows 11およびWindows Server 2022/2025の構成環境に対する脅威であり、PINを伴わずTPMのみに依存している場合に脆弱な状態が残ると指摘しています。
パッチの早急な適用に向けた指針
システム管理者および企業ユーザーは、今回の6月セキュリティ更新プログラムを直ちに優先して適用する必要があります。現時点では実際の攻撃活動は確認されていないものの、脆弱性情報が公開されると攻撃者による武器化が急速に進む傾向があります。更新プログラムの適用を遅らせるほど、企業のワークステーションとサーバーインフラの両方においてリスクが飛躍的に高まります。
翻訳元: https://meterpreter.org/windows-june-2026-updates/
