Microsoftは2026年7月のPatch Tuesdayで、570件以上の脆弱性に対するパッチを公開しました。このうち2件(CVE-2026-56155とCVE-2026-56164)は攻撃者によって悪用されており、1件(CVE-2026-50661)は既に公開済みの脆弱性です。
今回のリリースに続き、Nightmare Eclipseは未パッチのWindows権限昇格(EoP)脆弱性に対する簡略版の概念実証エクスプロイトを公開しました。この研究者はこの脆弱性を「LegacyHive」と名付けています。
注目すべき脆弱性
CVE-2026-56155は、Active Directory Federation Services(ADFS)に影響する権限昇格の欠陥で、Microsoftのインシデント対応チームによって実際に悪用されているのが確認されています。
この脆弱性に対する修正はWindowsおよびWindows Serverの更新プログラムに組み込まれており、Microsoftはさらに、AD FSのDistributed Key Managerコンテナに対するアクセス制御リスト(ACL)の強化を開始したと発表しました。
「この脆弱性はアクセス制御の粒度が不十分であることに起因しており、悪用にはローカルアクセスと低い権限が必要ですが、AD FSはまさに攻撃者が侵入後に足がかりとして狙いたがる類のIDインフラです。ランサムウェア攻撃でよく見られるように、RCE(リモートコード実行)と組み合わせて悪用される可能性もあります。このパッチは迅速にテストし、展開してください」と、TrendAIのZero Day InitiativeでThreat Awareness部門を統括するDustin Childs氏はコメントしています。
CVE-2026-56164は、Microsoft SharePoint Serverに見つかった権限昇格の欠陥で、Googleのインシデント対応チームと匿名の研究者によって報告されました。複雑度の低い攻撃でリモートから悪用可能であり、攻撃者はすでにこの脆弱性を悪用しています。
SharePointサーバーでAntimalware Scan Interface(AMSI)機能を有効にすることが緩和策の一つとして挙げられていますが、セキュリティ更新プログラムを適用する方がより良い選択です。これらの更新プログラムでは、SharePointのリモートコード実行に関する追加の脆弱性(CVE-2026-50522とCVE-2026-58644)と、重大なセキュリティ機能バイパスの欠陥(CVE-2026-55040)も修正されるためです。
「Rapid7のシニアプリンシパルセキュリティ研究者であるStephen Fewer氏によって発見され、Microsoftと連携して公開された(中略)[CVE-2026-55040]は、2つで一組のエクスプロイトのうちの1つ目にあたります。この2つを連結させることで、認証を経ずに脆弱なSharePointサーバーに対してリモートコード実行を行うことが可能になります」と、Rapid7のプリンシパルソフトウェアエンジニアであるAdam Barnett氏はコメントしています。
このRCEチェーンを完成させるもう一方の脆弱性は現時点でエンバーゴ(公開留保)の対象となっており、Microsoftは2026年8月にこれに対するパッチを公開する見通しだと同氏は付け加えています。
これに関連する動きとして、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、攻撃者が最近パッチが適用された2件の脆弱性(CVE-2026-32201とCVE-2026-45659)も悪用しているとして、SharePointサーバーを運用する組織に対し追加の対策強化を呼びかけています。
CVE-2026-50661は、Windows BitLockerのセキュリティ機能バイパス脆弱性で、公表はされているものの、(今のところ)実際の悪用は確認されていません。
「現時点では確認されていませんが、このCVEはNightmare-Eclipseの人物が公開したBitLockerバイパスエクスプロイト『GreatXML』に対応するパッチである可能性があります」と、Crowdstrikeは指摘しています。
AI支援による脆弱性発見時代のセキュリティパッチ適用
今回の新規脆弱性の急増は、事前に予告されていたとおりの展開でした。Microsoftは最近、ソフトウェア脆弱性の社内発見を加速するためにAIを活用していることを認めています。
同社はまた、他のセキュリティ研究者や攻撃者も同様の取り組みを行っていると指摘しています。
「重要な品質更新プログラム(セキュリティ修正を含む)を公開から数週間経ってから配信しているようでは、AIを使う攻撃者に既知のセキュリティの穴を見つけて悪用するための十分な時間を与えてしまうことになります」とMicrosoftは述べています。
「この問題に対処するため、当社ではWindows更新プログラムの展開に関する推奨事項を見直し、品質更新プログラムの延期期間を3日未満、これらの更新プログラムの期限を0日または1日、更新プログラムの猶予期間を最大2日に設定しました。」
TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏も、脆弱性がどれだけ悪用されやすいかを示す「Exploitability Index(悪用可能性指数)」の在り方は、AIによる発見のスピード、すなわち機械的な速度に合わせて変わる必要があると指摘しています。
「例えば、MicrosoftはもともとSharePointの脆弱性であるCVE-2026-45659を『悪用の可能性は低い』と分類していました。しかし、この脆弱性は7月1日にCISAのKEV(既知悪用脆弱性)カタログに追加されました」と同氏は指摘しています。
「Anthropicのレッドチームが既知の脆弱性(nデイ)について独自に行った調査結果は、この仕組みがいかに脆いものになっているかを浮き彫りにしています。同社のMythos Previewモデルは、『悪用の可能性は低い』または『悪用の可能性はほぼない』と評価されていた14件の脆弱性のうち、13件について概念実証エクスプロイトを作成できたのです。これが意味するのは、Patch Tuesdayに対する我々の見方そのものが変わったということです。なぜなら、この悪用可能性指数は人間を基準に組み立てられたものであり、AIツールを基準にしたものではないからです。こうしたツールが進化を続ける以上、防御側もそれに合わせて進化していく必要があります。」
Five Eyes(ファイブ・アイズ)諸国のサイバーセキュリティ当局は最近、組織に対しセキュリティ運用にAIツールを組み込むよう助言しました。これにより「脆弱性をより早期に検知し、ソフトウェアの品質を向上させ、異常な挙動を監視し、インシデントへの対応をより迅速に行える」としています。
あわせて、以下の対応も呼びかけています。
- アクセスを制限することで攻撃対象領域を縮小すること
- パッチ適用プロセスを加速させ、リスクに応じてセキュリティ更新プログラムに優先順位を付けること
- レガシーシステムに対応すること(可能であれば廃止すること)
- ID管理とアクセス制御を強化すること
- インシデントが発生する前に備えを整えておくこと
翻訳元: https://www.helpnetsecurity.com/2026/07/15/microsoft-patch-tuesday-sharepoint-cve-2026-56164/