- 2026年6月のパッチチューズデー、Windowsの脆弱性約200件を修正——同社史上最大規模のリリース
- Chaotic Eclipseによる未調整開示のGreenPlasma(CVE‑2026‑45586)およびYellowKey(CVE‑2026‑45585)も含む
- AIを活用したバグ発見がパッチ件数の記録更新を後押し、今後も増加の見込み
Microsoftは2026年6月のWindowsオペレーティングシステム向けパッチチューズデー累積アップデートをリリースしました。これは同社がこれまでにリリースした中で、圧倒的に最大規模のアップデートとなります。
今回のアップデートは、Windowsシステムおよびサポート対象ソフトウェアにわたる約200件のセキュリティ脆弱性に対処しており、そのうち数十件は「緊急(Critical)」に分類されています。これらは悪用されればユーザーに深刻な被害をもたらす可能性があります。
今回の修正には、Chaotic Eclipseによって開示された2件の脆弱性も含まれています。Chaotic Eclipseは謎に包まれた研究者で、脆弱性の報告方法や研究者への謝辞・報酬をめぐってMicrosoftと最近対立していました。
AIを活用したセキュリティ問題の発見
約200件もの脆弱性を修正したことで、Microsoftは事実上自らの記録を塗り替えました。その背景には、人工知能(AI)の活用があります。
1つ目の主要な問題は「GreenPlasma」と呼ばれるもので、Windows Collaborative Translation Framework(CTF)における権限昇格の脆弱性です。CVE-2026-45586として追跡されるこのバグは、深刻度スコア7.8/10(高)に評価されており、ローカルの攻撃者がWindowsシステム上でより高い権限を取得することを可能にします。
2つ目は「YellowKey」で、CVE-2026-45585として追跡されるWindows BitLockerのセキュリティ機能回避の脆弱性です。深刻度スコアは6.8/10(中)とされています。NVDによると、この脆弱性の概念実証(PoC)コードがすでに公開されており、これは脆弱性の協調的開示のベストプラクティスに違反するものだとしています。
これを受けてMicrosoftは、Chaotic Eclipseが法律に違反していると判明した場合は法的措置を検討すると表明しました。パッチチューズデーに続く勧告の中で同社は、これら2件の脆弱性について研究者への謝辞を一切記載せず、「協調的な脆弱性開示を通じてお客様の保護に協力してくださるセキュリティコミュニティの方々の取り組みに感謝します」とのみ述べています。
