Microsoftが2026年7月のパッチチューズデーで、過去最大規模となるセキュリティアップデートを公開しました。製品エコシステム全体で570件の脆弱性を解消し、3件のゼロデイ脆弱性にも対応しています。このうち2件は、パッチが提供される前に攻撃者による悪用が確認されていました。
今回のリリースには、特権昇格の脆弱性254件、リモートコード実行(RCE)の脆弱性145件、情報漏えいの問題102件、サービス拒否(DoS)の不具合35件、セキュリティ機能バイパスの脆弱性17件、なりすましの脆弱性16件が含まれます。
このうち59件が「緊急」(Critical)の深刻度に分類されており、内訳はRCEの不具合48件、特権昇格の問題9件、セキュリティバイパス1件、なりすまし1件となっています。
Microsoftは、この前例のない件数の背景の一つとして、脅威アクターに先んじてWindowsのコードベースを積極的にスキャンするために最近導入したAI搭載の脆弱性発見システムを挙げています。
2件のゼロデイ脆弱性は、実際の攻撃で悪用されていました。CVE-2026-56155は、Active Directory Federation Servicesにおける特権昇格の脆弱性で、アクセス制御の粒度が不十分なことが原因です。これにより、認可された攻撃者がローカルで昇格した権限を取得できてしまいます。Microsoftはこの脆弱性の発見について自社のDetection and Responseチームの功績としており、実際のインシデント調査の過程で判明した可能性を示唆しています。
CVE-2026-56164はMicrosoft SharePoint Serverに影響する脆弱性で、重要な機能における認証の欠如により、認可されていないネットワーク上の攻撃者が権限を昇格できてしまいます。Microsoftは緩和策として、Antimalware Scan Interface(AMSI)をFull Request Body Scanモードで有効化することを推奨しています。
3件目のCVE-2026-50661は、一般には公開されているもののまだ悪用は確認されていないBitLockerのセキュリティ機能バイパスの脆弱性で、デバイスに物理的にアクセスできる攻撃者が暗号化されたデータを読み取れてしまう可能性があります。
これらのゼロデイ脆弱性に加え、今回のサイクルでは緊急対応が必要な深刻なSharePointのRCE脆弱性(CVE-2026-58644)や、深刻度「緊急」のWindows Print SpoolerのRCE脆弱性(CVE-2026-58608)も修正されています。
Desktop Window Manager(CVE-2026-58633、CVE-2026-58634)、Win32カーネルサブシステム(CVE-2026-58632)、Windowsカーネルモードドライバー(CVE-2026-58602)など、Windowsの中核コンポーネントに影響する複数の特権昇格の不具合も確認されています。
Remote Desktop ServicesとRemote Desktop Clientについても、RCEおよび情報漏えいに関する修正(CVE-2026-58626、CVE-2026-58594、CVE-2026-58546)が行われたほか、Windows Admin CenterにもRCEのパッチ(CVE-2026-58631)が適用されました。
これとは別に、Googleは今月Chromium/Edge向けに468件の修正を公開しています。これらはMicrosoft独自のパッチチューズデーの件数には含まれておらず、また今回のメインリリースとは別のタイミングで公開されたMicrosoft Exchange Online、M365 Copilot、Azure OpenAIに関する修正もあります。
他のベンダーも足並みをそろえるように動いており、Adobeは悪用が確認されたColdFusionの脆弱性にパッチを適用したほか、SAPは同じ週にNetWearuおよびCommerce Cloudに関する4件の緊急度の高い修正をリリースしています。
AD FSとSharePointのゼロデイ脆弱性はいずれも実際の悪用が確認されているため、セキュリティチームは企業のIDおよびコラボレーション基盤全体において、直ちに展開を優先すべきです。
自信を持って行動するための情報力をSOCに。
ANY.RUNのThreat Intelligence Feedsで、ノイズを減らし運用効率を高めましょう。
翻訳元: https://cyberpress.org/microsoft-july-patch-tuesday/