- Microsoftの2026年7月のPatch Tuesdayでは、記録的な622件の脆弱性を修正。うち58件は緊急(critical)、2件は実際に悪用が確認され、1件はすでに一般公開済み。さらにChromium関連のバグ428件も含まれる
- 実際に悪用されている脆弱性には、CVE‑2026‑56155(AD FSの権限昇格)とCVE‑2026‑56164(SharePointの権限昇格)が含まれるほか、BitLockerやCopilotに関する注目すべき問題も存在する
- 修正件数の急増は、MicrosoftがAnthropic製のAI「Mythos」を採用したことと関連しており、導入以降パッチ件数が急激に増加している
Microsoftは2026年7月のPatch Tuesdayのダウンロード提供を開始し、またしても記録を塗り替える大型アップデートとなりました。エコシステム全体にわたる数百件の脆弱性に対応しています。
現在Microsoftユーザーに向けて展開中のこのリリースでは、驚異的な622件の脆弱性が修正されました。そのうち58件は緊急(critical)レベル、2件は実際に悪用が確認されているもの、そして1件はすでに一般公開済みのものです。
さらにMicrosoftは、Chromium関連のバグ428件についても修正を提供しています。
件数の急増
脆弱性の数があまりに多いためすべてを挙げることはできませんが、実際に悪用が確認されている2件はCVE-2026-56155とCVE-2026-56164です。前者は「Active Directory Federation Services(AD FS)におけるアクセス制御の粒度不足」のバグと説明されており、認証された攻撃者がローカルで権限を昇格できるというものです。深刻度スコアは7.8/10(高)とされています。
後者は「Microsoft Office SharePointにおける重要機能の認証欠如」のバグで、認証されていない攻撃者がネットワーク経由で権限を昇格できるというものです。Microsoftはこれに中程度の深刻度スコア(5.3/10)を割り当てていますが、National Vulnerability Databaseでは9.8/10(緊急)と評価されています。
その他注目すべき脆弱性としては、Windows BitLockerにおける保護機構の不備であるCVE-2026-50661が挙げられます。これは認証されていない攻撃者が物理的な攻撃によりセキュリティ機能を回避できるというものです。また、Microsoft Copilotにおけるコマンドで使用される特殊要素の不適切な無害化であるCVE-2026-48561は、認証されていない攻撃者がネットワーク経由でコードを実行できるというものです。
1か月で622件もの脆弱性を修正するのは非常に多いと感じたなら、その感覚は正しいと言えます。これはMicrosoftの通常のペースを大きく上回るものであり、おそらく同社が今、あの噂のMythos——Anthropicが手がけるサイバーセキュリティ特化型AI——を使用していることが理由と考えられます。
2026年6月、Mythosのリリースからおよそ1か月半後にあたる時期に、Microsoftは206件の脆弱性を修正しました。これは同社の通常の修正件数を大幅に上回るものであったため、注目を集めました。
5月には120件、4月には167件、そして3月には79件の脆弱性を修正しています。