Microsoftの記録的なCVE公開数についての私の予測は、1カ月ずれてしまいました。5月に予想していた200件を超えるCVEの大量発生は、実際には6月に到来し、200件を超えるCVEが報告される結果となったのです。Windows 11向けが116件、Windows 10向けが104件でした。さらに、OfficeやSharePoint Serverといった一般的なアプリケーションに加え、Visual Studioや.NETなど多数の開発ツール・ライブラリでも大量の脆弱性が確認されています。この傾向は今月も続くのでしょうか。
興味深いことに、6月のPatch Tuesdayで多数の修正が行われたにもかかわらず、Microsoftは今月、緊急リリース(OOB)を一切実施していません。同社はWindows Server 2016の更新プログラムの問題を修正し、報告された問題もごみ箱に内部ファイル名が表示されるといった軽微なものにとどまりました。一方で、注目すべき発表もいくつかありました。
Microsoftは、Windows 11 26H2がWindows Insider Programの開発チャネルで利用可能になり、今年後半に一般提供が開始されると発表しました。この機能アップデートはWindows 11 24H2および25H2と同じサービスチャネルに属するため、有効化パッケージを通じて更新が可能です。これは、Windows 11 23H2以前のバージョンで必要となるOSの完全な入れ替えに比べ、影響がはるかに小さい方法です。なお、Windows 11 26H1はこのサービスチャネルには含まれておらず、OSカーネルも異なります。こちらについては将来的に別のアップグレード経路が用意される予定です。Microsoftはコンシューマー向けWindows 10 ESUの無償サポートを2027年10月までさらに1年間延長しましたが、一部の例外を除き、法人顧客は引き続き更新プログラムの利用に有償サブスクリプションが必要です。
研究者Nightmare-EclipseとMicrosoftの間の攻防は今月も続きました。この研究者は、これまで確認されてきたMicrosoft Defenderの一連の欠陥に連なる新たなゼロデイ脆弱性「RoguePlanet」を発表しています。CVE-2026-50656として追跡されるRoguePlanetは、競合状態(レースコンディション)による権限昇格の脆弱性です。この研究者がGitHub上で公開したPOCコードを使えば、侵害されたシステム上でSystem権限のシェルを取得できる可能性があります。
CISAは、すでにパッチが提供されているBlueHammerなど、以前から報告されていた脆弱性がランサムウェアによって悪用され始めていると発表しました。この脆弱性が悪用されるのも時間の問題であることは間違いないため、今回のPatch Tuesdayで修正プログラムが提供されるかどうかは注視すべきポイントです。
AIが脆弱性の発見に与える影響は、パッチ管理業界にも変化をもたらし続けています。Adobeは、月2回のセキュリティリリース体制へ移行すると発表しました。1回はPatch Tuesdayに、もう1回は毎月第4火曜日に実施されるとのことです。この発表は、AdobeがCold Fusionの各バージョンに存在する6件の脆弱性(いずれも最大CVSSスコア10)に対するパッチをリリースした直後のタイミングで行われました。Adobeによれば、「発見される脆弱性が増えるほど、展開すべき修正プログラムも増える。もはや月1回の公開サイクルでは、攻撃者に先んじるスピードとして不十分だ」とのことです。
この流れはもはや一般的なものになりつつあります。Googleは6月30日にChrome 150をリリースし、433件ものセキュリティ修正が報告されました。Appleでさえ、脆弱性の発表・悪用件数の増加を受け、長年続けてきたパッチポリシーを見直し、OSに対してより頻繁なセキュリティ更新を年間を通じて実施する方向に転換しています。
「パッチの黙示録」はすでに到来しており、パッチ展開のペースを上げて計画・実行することは、これまで以上に重要になっています。CVEを追跡し続けること自体が、その膨大な量ゆえにもはや現実的ではないという見方が広がりつつあり、専門家たちはベンダーから最新版がリリースされ次第すぐにパッチを適用するという方式に回帰し、システムを可能な限り安全に保とうとしています。
2026年7月のPatch Tuesday予測
- 7月は例年静かな月であるものの、今月もMicrosoftにおける大量のCVE傾向は続くと予想しています。Microsoft Office 2016はサポート終了(EOS)を過ぎているにもかかわらず、依然として多数の更新プログラムが提供され続けています。先月はExchange Serverの更新がありましたので、今月はMicrosoft SQL Serverが順番として来るかもしれません。
- Adobeが月2回のリリース体制のもとで製品更新をどう振り分けてくるかは予測が難しいところですが、Photoshop、Illustrator、Connectがリストに含まれると見ています。
- Appleは6月29日にmacOS Tahoe 26.5.2、およびSonoma・Sequoia向けにSafari 26.5.2のセキュリティ更新を提供しました。来週、この2つのOS向けに別途OS更新が行われる可能性も否定できません。
- Google Chromeは毎週驚くべきペースで更新が続いているため、今回のPatch Tuesdayでも同様の状況が予想されます。
- MozillaはThunderbirdとFirefoxの隔週リリース体制に徐々に落ち着いており、前回の更新が6月30日だったことを踏まえると、来週は(ESRリリースの有無にもよりますが)2件以上の新たな更新が予想されます。
- Oracleは次回のCritical Patch Update(CPU)を7月21日に予定しているため、Patch Tuesdayの翌週に向けて準備しておく必要があります。
AIによる進化はすでに始まっており、その最初の影響として脆弱性の発見と悪用のスピードが加速しています。パッチ管理のプロセスが今後どのように進化していくかは時間が経てばわかるでしょうが、まず答えるべき問いは、CVEの追跡がこの先も現実的な取り組みであり続けられるのかどうか、ということかもしれません。
翻訳元: https://www.helpnetsecurity.com/2026/07/10/july-2026-patch-tuesday-forecast/