Microsoftが「あらゆる脆弱性の親玉」を大量開示、6月の記録を一気に3倍に

Microsoftの毎月恒例のPatch Tuesdayセキュリティプログラムは今月、他に類を見ない頂点に達し、同社は自社ビジネス製品・システム群にわたって622件の脆弱性に対応しました。

「バグの終末がついに我々のもとに降り立った」と、トレンドマイクロのZero Day Initiativeで脅威認識部門を率いるダスティン・チャイルズ氏は火曜日のブログ投稿で綴っています。

「あらゆるリリースの中の親玉だ。これを『記録的』と呼ぶのは控えめすぎる表現だろう」と同氏は付け加えました。「年初来のCVE件数は、過去のどの年の年間合計をも上回っている」

この驚くべき脆弱性の急増は、人工知能がエラーだらけのアプリケーションに潜む欠陥の発見と修正パッチ開発においてますます大きな役割を担うようになる中、ソフトウェア全体に広がっている複合的な影響を映し出しています。

Microsoftの6月のPatch Tuesdayアップデートは、206件の脆弱性で過去最多記録を更新したばかりでした。

同社は先週、顧客や防御担当者に対し、脆弱性をより高速かつ大規模に発見・対処するためのマルチモデル・エージェント型スキャニング基盤(MDASH)を適用することで、大量の欠陥が発見されることになると事前に警告していました。

Microsoftの脆弱性件数がこのまま毎月指数関数的に増加すれば、同社は2020年に記録した1,245件のCVEという過去最多の年間記録を塗り替え、2026年を史上最大の欠陥件数で終える軌道にすでに乗っている、とTenableのシニアスタッフリサーチエンジニア、サットナム・ナラン氏はメールで述べています。

「暦年で2,000件のCVEを超えるだけでなく、今年は3,000件以上に達する可能性も十分にある」と同氏は付け加えました。

「この件数の多さは驚異的だが、それはこれらのツールがバグを発見する能力がいかに向上したかを反映しているのであって、そのバグのうちどれだけが実際に組織にリスクをもたらすかを示しているわけではない」とナラン氏は述べています。

Microsoftは、すでに悪用が確認されているゼロデイ脆弱性2件を開示しました。それぞれActive Directory Federation Servicesの権限昇格の欠陥であるCVE-2026-56155と、Microsoft SharePoint Serverの権限昇格の欠陥であるCVE-2026-56164です。

今月のパッチ群には、Windowsの416件、Officeの82件、Microsoft Edgeの46件の欠陥が含まれています。同社が開示した脆弱性のうち10件に1件以上にあたる合計63件が、深刻度「緊急」と評価されました。

「今月対象となった製品群もまた驚異的だ」とチャイルズ氏は述べています。「これまで耳にしたことのあるほぼすべての製品にパッチが適用されている」

今月対応された脆弱性の全リストはMicrosoftのSecurity Response Centerで確認できます。

SAPも火曜日、最新の脆弱性群への対応を発表しました。これにはSAP NetWeaver Application Serverの緊急度「クリティカル」の欠陥CVE-2026-44747と、SAP ApprouterのCVE-2026-27690が含まれています。

翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-july-2026/

ソース: cyberscoop.com