Microsoft、記録的な570件のセキュリティ脆弱性を修正

Microsoft Corp.は本日、Windowsオペレーティングシステムおよびその他ソフトウェアにおける少なくとも570件のセキュリティホールを塞ぐソフトウェア更新をリリースしました。これは、記録を塗り替えた先月のPatch Tuesdayでの修正件数のほぼ3倍にあたります。Microsoftは、増加し続けるパッチ件数の背景に、人工知能によって支援された脆弱性発見があると説明しています。

Image

7月のPatch Tuesdayで修正されたバグのうち、およそ60件が「緊急(critical)」レベルの深刻度を獲得しました。これは、悪意ある攻撃者やマルウェアがユーザーの助けをほとんど、あるいはまったく必要とせずにWindowsデバイスを遠隔操作できてしまう可能性があることを意味します。Microsoftはまた、既に悪用が確認されている3件のゼロデイ脆弱性にも対処しました。

ゼロデイ脆弱性のうち2件は、攻撃者がWindowsシステム上でユーザー権限を昇格させることを可能にするものです。今月修正された権限昇格の脆弱性は他にも約250件存在し、その中にはActive Directory Federation ServicesのバグであるCVE-2026-56155や、Microsoft Sharepointの脆弱性であるCVE-2026-56164が含まれます。

CVE-2026-50661Windows BitLockerのセキュリティ機能バイパスの脆弱性で、攻撃者がデバイスに物理的にアクセスできる場合、暗号化されたデータへのアクセスを許してしまう可能性があります。Microsoftによると、この脆弱性の詳細は既に公開されているものの、実際の悪用は確認されていないとのことです。

7月9日付のブログ記事で、MicrosoftのエグゼクティブバイスプレジデントであるPavan Davuluri氏は、AIによる脆弱性発見の支援の結果として、Windowsユーザーは「各セキュリティリリースに含まれるセキュリティ更新の量がこれまでより多くなる」ことに気づくだろうと述べました。

「AIの進歩によって脆弱性発見のペースは変わりつつあります。より多くのコードに対して、より多くの問題を、より速く発見できるようになっており、発見と分析の両方を加速させる新たな仕組みが登場しています」とDavuluri氏は記しています

Action1の脆弱性研究ディレクターであるJack Bicer氏は、Microsoft Copilotにおけるリモートコード実行の脆弱性CVE-2026-48561(CVSS深刻度スコア9.6)に注目するよう呼びかけています。この脆弱性は、権限を持たない攻撃者がネットワーク経由でコードを実行することを可能にするものです。Microsoftによると、攻撃者は悪意あるWebサイトを設置することでこの脆弱性を悪用できるとしています。ユーザーがそのサイトを訪問すると、Android版Microsoft Edgeが細工されたプロンプトを自動的にCopilotへ送信してしまう仕組みです。

AIが脆弱性の発見と修正の水準を押し上げる一方で、攻撃者が既知のソフトウェア脆弱性に対する実働するエクスプロイトを迅速に作り上げることも容易にしています。Microsoftは以前から、「悪用可能性指標(exploitability index)」というものを用いてセキュリティ上のバグを分類してきました。これは、攻撃者が特定の脆弱性を悪用する確実な手法を見つけ出す可能性がどの程度あるかについての、Microsoft側の最善の推測です。

しかしTenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、Microsoftの悪用可能性指標は、機械的な速度で進む脆弱性発見の実態に合わせてもっと迅速に見直されるべきだと主張しています。例えば、Microsoftは当初、今月のSharePointゼロデイ脆弱性の悪用可能性を「可能性が低い(less likely)」と評価していましたが、この脆弱性は7月1日にCISAの既知悪用脆弱性(KEV)カタログに追加されています

「既知の脆弱性(いわゆるnデイ)を対象としたAnthropicのレッドチーム自身の調査結果は、この評価システムがいかに脆弱なものになっているかを浮き彫りにしました。同社のMythos Previewモデルは、『悪用の可能性は低い』または『悪用の可能性はほぼない』と評価されていた14件の脆弱性のうち13件について、概念実証(PoC)エクスプロイトを作成できてしまったのです」とNarang氏は述べています。「これが意味するのは、Patch Tuesdayに対する私たちの見方そのものが変わったということです。なぜなら、悪用可能性指標は人間を前提とした評価であり、AIツールを前提としたものではないからです。こうしたツールが進化を続ける以上、防御側もそれに歩調を合わせて進化していく必要があります」

IvantiChris Goettl氏は、Microsoftによる記録的なパッチ件数は、他の主要ソフトウェアメーカー各社もパッチ配信の頻度を上げている流れの中で生じていると指摘しています。例えばAdobeは本日、毎月第2・第4火曜日にセキュリティ情報を発行する月2回体制へ移行すると発表しました(Adobeもまた、パッチサイクルの加速要因としてAIを挙げています)。CiscoMozillaOracleもより頻繁に更新を配信するようになっており、Googleについては2026年6月のパッチ群だけで900件を超えるセキュリティ修正が含まれていたと、Goettl氏は指摘しています。

オペレーティングシステムの更新を適用する前に、Windowsシステムやデータのバックアップを取っておくことは、常に賢明な判断です。今月対処されたパッチの量を踏まえると、エンドユーザーはこれらの修正を適用する前に数日間様子を見た方が良いかもしれません。セキュリティパッチがシステムの安定性の問題を引き起こすことは珍しくなく、本日リリースされた膨大なパッチ件数を考えれば、そのリスクはかなり高まっている可能性があります。

関連情報:

Action1のPatch Tuesdayブログ

Automoxによるまとめ

翻訳元: https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/

ソース: krebsonsecurity.com