今回の大規模なマイクロソフトのリリースは、AIがベンダーの脆弱性発見を支援する能力がいかに向上したかを反映していると、ある専門家は指摘します。
今月初め、マイクロソフトは最新のAIモデルが脆弱性の発見を支援できるようになったことで、CSO(最高セキュリティ責任者)は毎月より多くのセキュリティ更新を目にすることになると警告していました。それは冗談ではありませんでした。
マイクロソフトは本日、過去最多となるパッチ数を公開し、そのうち59件が「緊急」と評価されました。同社は現在、顧客に対し、深刻な欠陥へより迅速に対処できるようパッチ適用のスケジュールを前倒しするよう推奨しています。
TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、「通常であれば、これまでの[年間]パッチ件数の記録を更新するかどうかは10月や11月まで待たないと分からないものです」と述べています。この記録とは2020年に記録された1,245件の脆弱性のことです。しかし今年は違いました。Tenableの集計によれば、今月のPatch Tuesdayで正式に修正されたCVEは569件に上り(ユーザー操作を必要としないサーバー側の更新を除く)、これは先月の記録である198件の修正を大きく上回るものでした。
Narang氏によれば、今年末までにマイクロソフトが発見する共通脆弱性識別子(CVE)は3,000件を超える可能性が高いといいます。
同氏はさらに、本日の脆弱性件数は「驚異的」だとしながらも、「これはこうしたツールがバグを発見する能力がいかに向上したかを反映しているのであって、そのバグの数がそのまま組織にとってのリスクの大きさを示しているわけではありません」と付け加えました。
一方、SAPは新規・更新版合わせて20件のセキュリティパッチを公開しました。その中には、NetWeaver Application Server ABAP、SAP Kernel、およびSAP GUI for HTMLに関連するフロントエンドサービスにおける深刻なメモリ破損の脆弱性が含まれており、CVSSスコアは9.9となっています。
マイクロソフトのパッチ
マイクロソフトが発見した膨大な数のCVEの中には、パッチ適用が必要な3件のゼロデイ脆弱性が含まれており、そのうち2件はすでに悪用が確認されています。
この2件はいずれも権限昇格の脆弱性です。1つはCVE-2026-56155で、限定的なアクセス権を持つ攻撃者が管理者権限まで昇格できてしまうActive Directory Federation Services(AD FS)の欠陥です。もう1つはCVE-2026-56164で、Microsoft SharePoint Serverの脆弱性です。
3件目はCVE-2026-50661で、Windows BitLockerにおけるセキュリティ機能バイパスの脆弱性であり、すでに一般に公開されていたことが確認されています。Narang氏は「これは、Nightmare EclipseあるいはChaotic Eclipseという名で知られる研究者が公開した一連のゼロデイ脆弱性と関連している可能性があると推測していますが、公式な確認は取れていません。ただし、この研究者がPatch Tuesdayに合わせて何かを公開すると予告していたことは分かっています」と述べています。
Narang氏によれば、今月最も注目すべき欠陥はこれらでしたが、CSOにとって重要なのは、7月のパッチが示す通り、脆弱性が悪用される可能性を評価する「Exploitability Index(悪用可能性指数)」の在り方そのものを見直す必要があるという点です。悪用手法の発見が機械的な速度で進む以上、この指数も変化に対応しなければなりません。例えば同氏は、5月にマイクロソフトがSharePointの脆弱性であるCVE-2026-45659を当初「悪用の可能性は低い」と分類していた例を挙げています。しかし、この脆弱性は7月1日に米サイバーセキュリティ・インフラセキュリティ庁(CISA)の「既知の悪用された脆弱性」リストに追加されました。
同氏はさらに、Anthropicのレッドチームが既知の脆弱性(nデイ)について行った独自の調査結果が、月次のPatch Tuesdayという仕組みがいかに脆弱になっているかを浮き彫りにしたと付け加えました。同チームのMythos Previewモデルは、「悪用の可能性は低い」または「悪用の可能性はほぼない」と評価されていた14件の脆弱性のうち、13件について概念実証(PoC)エクスプロイトを作成できたのです。
Narang氏は「これが意味するのは、Patch Tuesdayの捉え方そのものが変わったということです。悪用可能性指数はAIツールではなく人間を前提として組み立てられているため、こうしたツールが進化を続ける以上、防御側もそれに合わせて進化する必要があります」と述べています。
TrendAIのZero Day Initiativeで脅威認知の責任者を務めるDustin Childs氏も同様の見解を示しています。
Childs氏は「これを『記録的』と呼ぶのは控えめな表現です。まさに『あらゆるリリースの母』と言うべきものです。バグの黙示録が完全に到来しました。7月の件数により、年初来のCVE累計は過去20年間のどの年間合計をも上回っています。セキュリティチームは通常業務を一旦脇に置き、まずはActive Directory FSとSharePointで実際に悪用されている脆弱性から着手し、この巨大な問題を一口ずつ着実に片付けていく必要があります」と述べています。
同氏が特に注意を促したのが、Windows VMSwitchにおけるCVSSスコアほぼ満点の9.9を記録したCVE-2026-57092です。この脆弱性は、低い権限しか持たない攻撃者でも仮想マシンの境界を突破し、ホスト全体を完全に侵害できてしまうものです。
Action1の脆弱性調査担当ディレクターであるJack Bicer氏も、IT部門は実際に悪用が確認されているActive Directory Federation Servicesの権限昇格の脆弱性と、SharePoint Serverの権限昇格の脆弱性への即時対応を最優先すべきだという見解に同意しています。
同氏によれば、その次に優先すべきは以下の深刻な脆弱性群だといいます。まず、Active Directory Certificate Servicesの権限昇格の脆弱性(CVE-2026-54121)は、証明書の悪用を通じて攻撃者が信頼済みシステムになりすまし、ADそのものを侵害する可能性を生み出します。次に、Windows Active Directory Domain Servicesのリモートコード実行の脆弱性(CVE-2026-49164)は、Windowsのエンタープライズ環境で最も重要なコンポーネントの一つに対し、認証なしでリモートコード実行を可能にしてしまいます。さらに、Microsoft Dynamics NAVおよびMicrosoft Dynamics 365 Business Centralのリモートコード実行の脆弱性(CVE-2026-55944)、Microsoft Exchange Serverのなりすましの脆弱性(CVE-2026-55008)、Microsoft SQL Serverのリモートコード実行の脆弱性(CVE-2026-54118およびCVE-2026-54117)、そして複数のWindows DHCP Serverの脆弱性が挙げられます。
Bicer氏は、これらの欠陥が攻撃者に財務システム、通信基盤、データベース、そして中核となるネットワークインフラを侵害する機会を与えると指摘しています。これらのシステムは機密性の高いビジネス情報への直接アクセスを提供することが多く、ランサムウェアの実行者や高度な脅威アクターにとって格好の標的となりがちです。
Bicer氏はさらに、Microsoft Defenderに関する重要なセキュリティ更新もあると付け加え、エンドポイント保護ソフトウェアに影響する脆弱性は、悪用に成功すれば組織の主要な防御手段の一つが無力化されてしまうため、直ちに対応すべきだと述べています。
ITチームが優先すべきこと
スタンフォード大学国際安全保障協力センターの研究員であり、元ホワイトハウスサイバー政策上級部長を務めたAJ Grotto氏は、マイクロソフトの7月のPatch Tuesdayについて、「セキュリティチームが今や脆弱性の量と発見速度が支配する時代の中で活動していることを如実に示すものです」と述べています。同氏によれば、「570件の脆弱性が修正され、そのうち3件は実際に悪用されているゼロデイでした。CSOにとって最大の懸念は単なる欠陥の数ではなく、リスクがIDシステム、コラボレーションプラットフォーム、権限昇格経路に集中している点にあります。Active Directory Federation ServicesとSharePointで実際に悪用されている脆弱性は特に懸念されます。これらはエンタープライズの信頼とアクセスの中核に位置する技術を標的としているからです」といいます。
同氏はさらに、「CSOにとっての課題は、もはや脅威アクターへの対抗だけではなく、AI時代においてマイクロソフトのエコシステム全体で加速し続ける脆弱性と更新のサイクルに追いつくことそのものになっています。セキュリティリーダーは、月次で前月比ほぼ3倍にまで膨らんだ増え続けるバグ一覧へのパッチ適用に費やす時間とコストを抑え、企業を守るために、ベンダーの多様化について真剣に検討すべきです」と付け加えました。
NightwingのShadowScout脅威インテリジェンスチームに所属するNick Carroll氏とRain Baker氏は、「[マイクロソフトの]脆弱性の件数の多さは、表面的には懸念すべきことに見えるかもしれませんが」としながらも、「これはむしろエンタープライズセキュリティにとって前向きな兆候と捉えることができます。ベンダーが、攻撃者に大規模に武器化される前に欠陥を発見し修正できているということを意味するからです」と述べています。
FortraのリードサイバーセキュリティアナリストであるJosh Taylor氏は、マイクロソフトの脆弱性のうち26件がCVSS基本値9.0を超えており、そのうち13件は9.8に達していると指摘しています。同氏は「これは重要な事実ですが、CVSSはリスク全体を語る一要素に過ぎません。今月の本当のトリアージ上の課題は、実際に悪用されている問題、一般に公開されてしまったBitLockerの欠陥、そしてWindowsとOfficeにおける脆弱性の異常な集中という組み合わせにあります」と述べています。
同氏はさらに、「パッチ適用チームにとって、今月はまさに規律が試される月です。取るべき行動はパニックになることではなく、順序立てて対応することです。まず悪用が確認されている問題や露出したインフラを最優先し、その後は通常の検証プロセスに委ねればよいのです」と付け加えました。
他のベンダーもパッチ頻度を引き上げ
Ivantiの製品管理担当バイスプレジデントであるChris Goettl氏は、マイクロソフトに限らず多くのソフトウェアベンダーがセキュリティ更新の頻度を引き上げていると指摘しています。例えば、Cisco Systemsはリスクベースで月2回(毎月第1・第3水曜日)の情報公開モデルへ移行したばかりです。Mozillaはほぼ毎週セキュリティ更新を実施しており、Oracleの新たなCritical Security Patch Update(CSPU)プログラムは、5月以降、CPU適用月以外の月の第3火曜日に重大な深刻度の修正を的を絞って提供しています。
Nightwingはまた、Adobeが月2回の情報公開の第1弾として、複数製品向けに12件のセキュリティ情報を個別に公開したことにも言及しています。管理者は本日公開された優先度1のColdFusion更新(APSB26-82)を早急に対応する必要があります。これはCVSSスコア9.9という深刻なパストラバーサルの脆弱性(CVE-2026-48318)を修正するものです。これは、今回修正された11件のColdFusion脆弱性のうちの1つです。
さらに、小売業やWeb運用の管理者は、Adobe Commerce(APSB26-73)への対応を直ちに最優先すべきです。これは、危険なファイル種別の無制限アップロードを許してしまうCVSSスコア9.6の欠陥(CVE-2026-48356)を解消するものです。
SAPの脆弱性
Pathlockのサイバーセキュリティ研究・イノベーション担当シニアプロダクトマネージャーであるJonathan Stross氏は、SAPの今回の修正の中で最も深刻なのはNote 3747367で、NetWeaver Application Server ABAPにおけるメモリ破損の脆弱性であり、CVSSスコアは9.9だと述べています。この脆弱性は、ABAP Application Server、SAP Kernel、そしてSAP GUI for HTMLに関連するフロントエンドサービスに影響します。
SAPによれば、認証済みの攻撃者は論理的なメモリ管理エラーを引き起こすことができ、これが不正なデータアクセス、データ改ざん、あるいはシステムの停止につながる可能性があるといいます。想定される攻撃シナリオとしては、侵害されたアカウントや悪意のある内部関係者が、脆弱なコードパスに到達する細工されたリクエストを悪用するケースが考えられます。
Stross氏は「悪用に成功した場合、機密性・完全性・可用性のすべてがプラットフォームレベルで影響を受ける可能性があり、コアとなるABAPシステムを不安定化させる恐れもあるため、組織はこれを7月のリリースにおける最優先パッチとして扱うべきです」と述べています。
同氏によれば、まず優先すべきは深刻なABAPカーネルの問題、AppRouterのリクエストスマグリングに関するノート、そしてCommerce Cloudのサンプル認証情報の問題だといいます。これらは実際の環境で直接的なセキュリティ上の影響を及ぼす可能性が最も高いためです。
ただし、更新されたノートを軽視してはならないと同氏は付け加えます。7月の概要には、運用上依然として重要な意味を持つ再公開項目が3件含まれており、これはパッチ適用計画や変更記録に反映されるべきだといいます。攻撃対象領域は分散しており、ABAP、Java、BTP、Commerce、SAProuter、UI5、そして関連ライブラリのすべてが同一の月次サイクルに登場するため、パッチ適用には各プラットフォームの担当者間での連携が必要になります。
OnapsisのSAPリサーチャーであるThomas Fritsch氏は、SAPのセキュリティノートについて詳しく解説し、NetWeaverのメモリ破損の修正を直ちに適用できないSAPチーム向けに、暫定的な回避策として、トランザクションSICFで特定のプロパティを持つすべてのICFノードを無効化する方法があると述べています。ただし、この回避策を適用するとSAP GUI for HTMLでのトランザクションの起動が無効化されてしまうため、すべての顧客にとって選択可能な方法ではなく、パッチ適用済みのABAP Kernelバージョンをインストールすることが強く推奨されています。
パッチ適用は継続的なものになるべき
Action1のフィールドCTOであるGene Moody氏は、「AIは新たな種類の脆弱性を露呈させる可能性が高く、AI支援による開発を通じて独自の脆弱性も生み出すことになるでしょう」と述べています。「論理的に考えれば、それを踏まえた上で、今後の更新のあり方はより継続的で、より柔軟に、そして固定されたカレンダーに縛られないものへと変わっていく必要があります。脆弱性の発見はビジネスロジックに従って進むわけではなく、迅速かつ容赦のないものになるでしょう。私たちはそれを受け入れ、防御においても同じくらい徹底しなければなりません。対応を怠るコストは、変化に伴う不便さをはるかに上回るからです」。
同氏はさらに、「私の予測では、今後マイクロソフトをはじめとする各社は、月次のスケジュールに基づくパッチサイクルから徐々に離れ、大半のセキュリティ問題について、調査と公開が可能な限りリアルタイムに近い形でローリング方式による更新へと移行していくでしょう。それは業界全体にとって望ましい変化となるはずです。パッチの作成と提供の迅速化に加え、顧客側でもより機敏な運用を行うことで、パッチ適用のペースを現代の脆弱性発見と悪用のスピードに合わせられるようになるでしょう」と述べています。
同氏は「必要なことはシンプルです」と述べます。「カレンダーに沿ったパッチ適用は、今日の脅威の状況においてもはや安全な前提とは言えません。スケジュールどおりではなく、必要な場所に必要なタイミングでパッチを適用すること。それだけが唯一の道です」。