Microsoftは今月のPatch Tuesdayで、約200件の脆弱性に対する修正プログラムを公開し、同社史上最大規模のパッチリリースとなりました。
その数時間後、数週間にわたって段階的なWindows エクスプロイトを公開し続けてきた研究者「Nightmare Eclipse」が、新たなゼロデイ「RoguePlanet」の概念実証(PoC)エクスプロイトを公開しました。このエクスプロイトはWindows DefenderのRace Conditionを悪用し、SYSTEMレベルの権限でコマンドシェルを起動させるものです。
複数の研究者が、このPoCエクスプロイトによるローカル権限昇格が実際に機能することを確認しています。
Nightmare Eclipseは「開発初期の段階では、この脆弱性はリモートコード実行が可能であることが確認されていた」と説明しています。ただし、Microsoftが5月に配布したWindows Defenderのパッチによって、リモートコード実行が不可能になった可能性があるとしています。
過去最大規模のリリースにおける優先対応事項
今月のPatch TuesdayはさまざまなMicrosoft製品の脆弱性に対処するものですが、特にAIを活用したセキュリティリサーチが広まる昨今、優先的に対応が必要なものがあります。
CVE-2026-42897は、積極的に悪用されているMicrosoft Exchange Serverの脆弱性で、今回修正プログラムが提供されました。
CVE-2026-45586は、Windows Collaborative Translation Framework(CTFMON)における権限昇格の脆弱性です。認証済みの攻撃者がSYSTEM権限を取得できる可能性があります。この脆弱性はすでに公開されており、Microsoftは悪用の可能性が「高い」と評価しています。
CVE-2026-49160は、HTTPおよびHTTPS通信のネットワークリクエストを処理するWindowsカーネルモードドライバー「HTTP.sys」に存在するリモートから悪用可能な脆弱性です。サービス拒否(DoS)状態を引き起こす可能性があり、こちらもすでに公開されています。
Trend MicroのZero Day Initiative(ZDI)で脅威認知部門のヘッドを務めるDustin Childs氏は、Windows HTTPスタックが使用するデフォルトのMaxRequestBytesレジストリ値を使用しているシステムにはこの脆弱性の影響がないと指摘しています。
「パッチのテストと展開を進める間の保護が必要であれば、レジストリ設定を変更することができます。セキュリティ情報にはその手順と、操作を行うためのPowerShellスクリプトも含まれています。Microsoftは『悪用の可能性が高い』と分類しているため、レジストリ設定を必ず確認することをお勧めします」と同氏は述べています。
CVE-2026-50507は、対象デバイスへの物理的なアクセスを持つ攻撃者のみが悪用できるWindows BitLockerのバイパス脆弱性です。(Nightmare Eclipseの「GreenPlasma」エクスプロイトによって悪用された脆弱性とみられています。)
CVE-2026-45585は、別のWindows BitLockerバイパス脆弱性で、こちらにも修正プログラムが提供されました。Microsoftはセキュリティアドバイザリの中で、これがNightmare Eclipseの「YellowKey」エクスプロイトによって悪用された脆弱性に対する修正であることを認めています。(Microsoftは2026年5月にこの脆弱性の緩和策を公開していました。)
Childs氏はさらに、ユーザー操作なしにリモートから悪用可能な、認証不要のコード実行脆弱性2件を優先対応パッチとして挙げています。
- CVE-2026-44815:DHCPクライアントサービスに存在する脆弱性。すべてのOSに搭載・有効化されているサービスです。
- CVE-2026-45657:カーネルによるTCP/IP処理に起因するワーム伝播可能なWindowsカーネルの脆弱性。「Microsoftは『悪用の可能性が低い』と分類していますが、世界中のすべての研究者やバグ探索企業が今まさにこのパッチをリバース解析してエクスプロイトの作成を試みていることは間違いありません。早急にテストし、展開してください」と同氏は警告しています。
AIが加速するパッチの大量化、終わりは見えず
「先月、Microsoftは過去数年間にわたる報告件数の増加について言及したブログ記事を公開し、同社のエンジニアとセキュリティコミュニティの双方がバグ発見に『AIを積極的に活用している』と述べました」と、TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏はHelp Net Securityに語りました。
こうした状況を踏まえると、より高度なAIモデルが登場するにつれ、大量のパッチ公開がPatch Tuesdayに限らず常態化していく可能性があります。
「今月は約200件のCVEにパッチが当たりましたが、Anthropic Frontier Red Teamによる最近のレポートに触れないわけにはいきません。このレポートは、システム全体で完全に修正されていない既知の脆弱性、いわゆるNデイ脆弱性がもたらす脅威を浮き彫りにしています」と同氏は付け加えました。
「Anthropic Frontier Red Teamはこのレポートの中で、2026年1月および2月のPatch Tuesdayで公開されたWindowsカーネルの権限昇格脆弱性21件を分析しました。Sonnet、Opus、Mythos Previewなどのモデルは、以前のリリースと最新リリースの差分を解析するパッチdiffにより、概念実証(PoC)エクスプロイトを作成することができました。Mythos Previewに至っては、Microsoftの悪用可能性インデックス(人間向けに設計された評価システムであり、高度なAIモデルを想定したものではありません)で『悪用の可能性が低い』または『悪用の可能性が非常に低い』と評価された14件中13件でPoCを作成しています。AnthropicがMythosの公開を準備し、他のAI企業もMythosに匹敵するモデルをリリースする中で、組織にとってパッチ適用のギャップを迅速に解消することは極めて重要です。」
FortraでSecurity R&Dのアソシエイトディレクターを務めるTyler Reguly氏も、AIの広範な活用により、CVSSスコアが実際のリスクの指標として機能しにくくなっていると指摘しています。
「(高いCVSSスコアを持つ脆弱性の)どれほどがエクスプロイトに変換され、そのうち本当に注意を払うべきものはどれなのか。今後数週間、各チームがパッチのテストと組織全体への展開準備を進める中、私はCISA KEVを注視して、これらの脆弱性がリストに追加されるかどうかを確認するつもりです」と同氏はコメントしています。
「現時点では、公開済みの脆弱性3件——CVE-2026-45586(CTFMON)、CVE-2026-50507(BitLocker)、CVE-2026-49160(HTTP.sys)——がすべてリストに掲載されると予測しています。」
Trend MicroのChilds氏はこうしたパッチの「インフレ」に懸念を示しています。「コーディングやテストにAIが活用されて生成されたパッチはどれほどあるのか。それらのパッチにはどのような品質上の問題が潜んでいるのか。」
また同氏はこう問いかけています。「このような大量更新という新たな状況を踏まえ、システム管理者は優先順位付けとパッチ展開のプロセスを見直すべきなのか。残念ながら、Microsoftは現時点でその答えを示していません。今後、その点が改善されることを期待したいところです。」
翻訳元: https://www.helpnetsecurity.com/2026/06/10/microsoft-patch-tuesday-rogueplanet/
