今月のパッチチューズデーでは、206件のMicrosoftセキュリティ脆弱性が修正されました。これはパッチチューズデー史上最大規模となります。
今回の修正には、Microsoftがクリティカルと評価した32件の脆弱性が含まれており、うち3件は公開済みのゼロデイ脆弱性です。Microsoftがこれらをゼロデイと分類するのは、パッチの提供前に詳細が公開されていたためです。いずれも現時点で実際に悪用された事例は確認されていません。
修正されたCVE(脆弱性)の件数はパッチチューズデープログラム開始以来最多となります。Microsoftがパッチチューズデーを正式化したのは2003年10月のことで、Blasterワームをきっかけに毎月定期的な更新サイクルへの移行が進んだことがきっかけでした。
技術的詳細
公開済みの脆弱性の中で、特に注目すべきものがあります。Windows BitLockerの欠陥として追跡されているのがCVE-2026-50507(CVSSスコア:10点満点中6.8)で、その説明には次のように記されています。
「Windows BitLockerにおける保護機構の不具合により、未認証の攻撃者が物理的な攻撃によってセキュリティ機能を回避できる可能性があります。」
BitLockerはWindowsに標準搭載されたセキュリティ機能で、ハードドライブ全体を暗号化し、デバイスの紛失や盗難時に不正アクセスからデータを保護します。しかし今回の脆弱性により、物理的なアクセス手段を持つ攻撃者がBitLockerデバイス暗号化を回避し、暗号化データにアクセスできる可能性があります。Microsoftが指摘するように、攻撃に成功した場合、システムストレージデバイスのBitLockerデバイス暗号化機能が回避される恐れがあります。
もう1つはHTTP.sysのCVE-2026-49160(CVSSスコア:10点満点中7.5)です。この脆弱性を悪用すると、HTTP/2 Bombと呼ばれる手法を使って、主要なWebサーバーに対してリモートからサービス拒否(DoS)攻撃を仕掛けることができます。
3つ目はWindows Collaborative Translation Framework(CTFMON)のCVE-2026-45586(CVSSスコア:10点満点中7.8)です。この脆弱性の悪用に成功した攻撃者は、SYSTEM権限を取得できます。このような権限昇格(EoP)脆弱性は、他の欠陥と組み合わせることで侵害済みシステムを完全に掌握できるため、攻撃者にとって特に価値の高いものとなっています。
修正の適用方法と保護状況の確認
これらのアップデートはセキュリティ上の問題を修正し、Windows PCを継続的に保護するためのものです。最新の状態を確認する方法は以下のとおりです。
1. 設定を開く
- 画面左下にあるWindowsロゴ(スタートボタン)をクリックします。
- 歯車のアイコンに見える「設定」をクリックします。
2. Windows Updateへ移動
- 設定ウィンドウで「Windows Update」を選択します(通常は左側メニューの下部にあります)。
3. 更新プログラムの確認
- 「更新プログラムの確認」ボタンをクリックします。
- Windowsが最新のパッチチューズデーの更新プログラムを検索します。
- 「利用可能になったらすぐに最新の更新プログラムを入手する」を選択している場合は、「詳細オプション」の下に表示されることがあります。
その場合は「再起動が必要です」というメッセージが表示されることがあります。システムを再起動すると更新が完了します。
- 表示されない場合は、以下の手順に進んでください。
4. ダウンロードとインストール
- 更新プログラムが見つかった場合、自動的にダウンロードが始まります。完了すると「インストール」または「今すぐ再起動」ボタンが表示されます。
- 必要に応じて「インストール」をクリックし、画面の指示に従って操作してください。通常、更新を完了するにはコンピューターの再起動が必要です。その場合は「今すぐ再起動」をクリックしてください。
5. 最新状態の最終確認
- 再起動後、「Windows Update」に戻り、もう一度確認してください。「最新の状態です」と表示されていれば、作業完了です。
