Microsoftのエンジニアリング担当バイスプレジデントであるTom Gallagher氏が5月に警告したとき、AIによる脆弱性発見の影響で同社の月例パッチリリースが今後さらに大規模化する可能性があると述べていましたが、わずか2カ月後にその数が600件を超えると予想した人はほとんどいなかったでしょう。
しかし、622件のユニークなCVEに対する修正を含むMicrosoftの2026年7月分Patch Tuesdayアップデートは、同プログラム史上圧倒的に最大規模となりました。これは、AIが対応を要する脆弱性の数を劇的に増加させる中で、組織が直面しつつある優先順位付けの課題の拡大を示す一例と言えます。
大量の脆弱性に埋もれる3件のゼロデイ
7月分のアップデートには3件のゼロデイ脆弱性に対する修正が含まれており、そのうち2件はすでに攻撃者に悪用されています。残る1件は公に知られているものの、まだ悪用は確認されていません。今回のパッチアップデートには60件以上の緊急(Critical)脆弱性への修正も含まれており、その多くはMicrosoftが「攻撃者に悪用される可能性が高い」と分類した欠陥です。内訳は、Windowsが416件、OfficeおよびOffice 2016がそれぞれ82件、Edgeが46件、Microsoft Developer Toolsが27件、SharePoint Serverが17件となっています。
Fortraのリードサイバーセキュリティアナリストであるジョシュ・テイラー氏は、電子メールでのコメントの中で次のように述べています。「深刻度を基準にするなら、7月分にはCVSSベーススコアが9.0を超える脆弱性が26件あり、そのうち13件は9.8に達しています。これは確かに重要な数字ですが、CVSSはリスクを判断する材料の一つに過ぎません。今月の本当のトリアージ課題は、実際に悪用されている問題、公開済みのBitLocker関連の欠陥、そしてWindowsとOfficeに集中する膨大な数の脆弱性が組み合わさっている点です」。テイラー氏はさらに、パッチ適用チームは件数の多さに気を取られるのではなく、まずは悪用が確認されている脆弱性と、それにさらされているインフラを優先すべきだと付け加えています。
Nightwingの研究者らは声明の中で次のように述べています。「2026年7月14日となる今日は、業界にとって転換点となる日です。私たちは従来型の『Patch Tuesday』方式から正式に脱却し、継続的かつ大量のセキュリティアップデートの時代に入りつつあります」。同社は継続的なパッチ適用への移行が求められているとしています。
優先度の高い脆弱性
今月のリリースにおける喫緊の脅威は、CVE-2026-56155(CVSS: 7.2)です。これはMicrosoft Active Directory Federation Servicesにおける権限昇格(EoP)脆弱性で、攻撃者がシステムレベルの権限を取得するために悪用できます。もう一つはCVE-2026-56164(CVSS: 5.3)で、これもEoPの欠陥ですが、こちらはSharePoint Serverの重要な機能における認証欠如に起因するものです。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この2件の脆弱性をすでに既知の悪用済み脆弱性カタログに追加しており、連邦政府機関に対して、SharePoint Serverの問題については7月17日まで、Active Directoryの欠陥については7月28日までに対処するよう求めています。
3件目のゼロデイ脆弱性――公に知られているものの、まだ悪用は確認されていないもの――は、Windows BitLockerにおけるセキュリティ機能バイパスの脆弱性で、CVE-2026-50661(CVSS: 6.1)として追跡されています。この脆弱性により、対象システムへの物理アクセス権を持つ攻撃者は、BitLockerのDevice Encryption機能をバイパスし、暗号化されたデータにアクセスできる可能性があります。
セキュリティ専門家らは、Microsoftの7月分アップデートに含まれるその他のいくつかの脆弱性――いずれもCVSSスコアが9.0以上――についても、直ちに対応すべき欠陥として指摘しています。具体的には以下の通りです。
-
CVE-2026-57092(CVSS 9.9):Windows VMSwitchにおける、ほぼ最大深刻度の脆弱性。攻撃者はこれを悪用してVM境界を突破し、ホストシステムを侵害する可能性
-
CVE-2026-48561(CVSS 9.6):Microsoft Copilotのリモートコード実行(RCE)脆弱性。認証されていない攻撃者がこれを悪用し、対象システム上で任意のコードを実行できる可能性
-
CVE-2026-55008(CVSS 9.6):Microsoft Exchange Serverにおけるなりすまし脆弱性。認証されていない攻撃者がネットワーク経由でなりすましを行うことが可能(Microsoftはこの脆弱性を「攻撃者に悪用される可能性が高い」ものと分類しています)
増え続ける件数が優先順位付けの課題に
Dark Readingの取材に対し、Action1の脆弱性リサーチ担当ディレクターであるジャック・バイサー氏は、脆弱性の件数増加そのものが最大の課題というわけではないと述べています。むしろ課題となっているのは、トリアージ、優先順位付け、そしてパッチを迅速に展開する能力だと同氏は指摘します。加速し続ける脆弱性開示の件数に対応するため、組織は包括的な資産管理プログラム、フィッシング耐性のある多要素認証、そして一元化されたパッチ管理システムを導入すべきだとしています。また、緊急対応やゼロデイのパッチについては数時間以内に、重大な深刻度の脆弱性については数日以内に、テスト・展開・検証を行うことを推奨しています。「パッチ展開までの時間を重要業績評価指標(KPI)として追跡し、その結果を定期的に報告すべきです」と同氏は述べています。
Tenableのシニアスタッフリサーチエンジニアであるサトナム・ナラン氏は、Dark Readingの取材に対し、脆弱性を取り巻く状況を把握した上で、最大の脅威となるものから優先的に対応することこそが、リスクを迅速かつ確実に低減するための組織にとって最善の戦略だと述べています。脆弱性の悪用可能性を検討する際、組織は現在の悪用可能性指標がAIによって開発されるエクスプロイトの速度を考慮していないという事実を踏まえる必要があります。例えば、Claudeの「Mythos Preview」は、Microsoftが「悪用の可能性は低い」または「悪用の可能性はほぼない」と評価した14件の脆弱性のうち13件について、概念実証(PoC)エクスプロイトを作成できたと同氏は指摘しています。
「CVSSは良い出発点ではありますが、あくまで一つの数値に過ぎません。CVSS9.8のすべてが緊急というわけではなく、CVSS8.0未満のすべてを無視してよいわけでもありません。文脈こそが重要です。これは、プロアクティブなエクスポージャー管理における中核原則の一つです」
Qualys Threat Research Unitのセキュリティリサーチマネージャーであるマユレシュ・ダニ氏は、CVSSのみに基づく優先順位付けの時代はすでに終わっていると述べ、組織は脆弱性の優先順位付けに際してExploit Prediction Scoring System(EPSS)やCISA KEV、Likely Exploited Vulnerabilitiesモデルといったリソースを活用すべきだと述べています。
「段階的なパッチ適用SLA(サービスレベル契約)の仕組みへと移行すべきです。例えば、KEVに掲載されているCVEやEPSSが0.5を超えるものについては、24時間から36時間以内にパッチを適用すべきです。次の階層は、VPNゲートウェイやリモート管理コンソールといった、インターネットに公開された高権限インフラです」と同氏は推奨しています。
ダニ氏は、攻撃対象領域の縮小と緩和策の導入を推奨するとともに、Active Directory FSのようなサービスをインターネットに公開しないよう呼びかけています。また、組織はSharePointのオンプレミス環境を一般公開の状態で有効化したり、リモート管理ツールをどこからでもアクセス可能な状態にしたりすべきではないとしています。