Microsoftは7月14日、今月のパッチチューズデーで前例のない570件のCVEに対する更新プログラムを公開しました。
この大量のパッチ提供は、同社が自律型AI(エージェント型AI)を活用して新たな脆弱性を発見する取り組みにより、顧客向けのセキュリティ更新プログラムが増加すると警告していたことを受けたものです。
Bugcrowdの最高戦略・信頼責任者であるTrey Ford氏は、これが当面の間「新常態」になると述べています。
「本質的な問題は経済性にあります。AIによって脆弱性発見のコストが劇的に下がり、この件数の増加は今後しばらくの間の新たな下限であり、上限ではありません」と同氏は付け加えました。
「経営層はパッチ適用件数を毎月の想定外の出来事として扱うのをやめるべきです。今後しばらくは流入件数が減ることはないため、固定的な運用コストとして予算を確保する必要があります。勝ち残る組織は今月最速でパッチを適用した組織ではなく、今後数か月間も件数が増え続けることに対応できる仕組みを構築した組織になるでしょう」
脆弱性管理に関する関連記事: Anthropic、AIを用いて重大なソフトウェア脆弱性を発見・修正する「Project Glasswing」を開始
7月のパッチチューズデーに含まれる脆弱性の中には、3件のゼロデイ脆弱性があり、そのうち2件はすでに実際の攻撃で悪用されています。
CVE-2026-56155は、Active Directory Federation Servicesにおける権限昇格(EoP)の脆弱性で、認証済みの攻撃者がローカルで権限を昇格できるというものです。
「Active Directory Federation Servicesに関しては、本日さらに8件の脆弱性も公開されており、いずれもMicrosoft独自の深刻度ランキングで『重要』に分類されています」と、Rapid7のプリンシパルソフトウェアエンジニアであるAdam Barnett氏は説明しています。
「アドバイザリには攻撃者の位置について明確な記載はありませんが、攻撃者はこの権限昇格の機会を組み合わせて悪用するために、標的システムへの何らかの足がかりをすでに得ている必要がある可能性が高いと考えられます」
2件目の悪用済みゼロデイはCVE-2026-56164で、こちらもMicrosoft SharePoint Serverにおける権限昇格の脆弱性です。攻撃を仕掛けるのに既存の権限は必要なく、Microsoftは悪用の「複雑さは低い」としています。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性と今年これまでに公開された他の2件の脆弱性の悪用を受けて、組織に対しSharePointシステムの堅牢化を強く求めています。
公開されているゼロデイ脆弱性はCVE-2026-50661で、Windows BitLockerのセキュリティ機能を回避し、暗号化されたデータへのアクセスを可能にする恐れがあるものです。悪用には、権限のない攻撃者が対象マシンへ物理的にアクセスする必要があります。
大量アップデート時代の到来
7月のパッチチューズデー全体では、254件の権限昇格(EoP)脆弱性、145件のリモートコード実行(RCE)の不具合、102件の情報漏えいの脆弱性に対する更新プログラムが公開されました。深刻度が「Critical」と評価されたのは59件で、そのうち大半(48件)がRCEの脆弱性でした。
しかし、更新プログラムの件数を増やしているのはMicrosoftだけではありません。Googleは今月、Edge/Chromiumの脆弱性460件超を修正しており、またAdobeも最近、パッチ提供の頻度を月2回に切り替えました。
Qualysのセキュリティ研究マネージャーであるMayuresh Dani氏は次のようにコメントしています。「この傾向はかねてより予測されていたもので、今まさにその証拠を目の当たりにしています。より高度で最先端のAIモデルが利用可能になるにつれ、今後も上昇傾向が続き、その後鈍化していくと予想されます」
「私たちが観測しているのは、AIによる自動ファジング、LLMを活用した亜種の発見、そして大規模な静的解析が、企業の修正対応能力を上回るスピードで不具合を発見しているという状況です」
Qualysは組織に対し、以下を推奨しています。
- CVSSのみに基づく優先順位付けから、Exploit Prediction Scoring System(EPSS)やCISA KEVの活用への移行
- 段階的なパッチ適用SLA体制への移行。例えば、KEVに掲載されているCVEやEPSSスコアが0.5を超えるものについては、24〜36時間以内にパッチを適用する。分類はリスクベースで行い、組織ごとに異なるものとする
- 攻撃対象領域を縮小する仕組みや緩和策の導入。具体的には、Active Directory Federation Serviceのようなシステムをインターネットに接続しない、オンプレミスのSharePointを一般公開しない、リモート管理ツールをどこからでもアクセス可能な状態にしない、といった対策
- 更新プログラムを検証しやすくするためのパッチ適用プロセスの改善。自動ロールバック機能を備えた一部グループでインストールとシステムの安定性を監視した上で、承認済みのパッチを必要な全システムに展開する
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-570-cves-patch-tuesday/