Microsoftが2カ月連続でPatch Tuesdayの記録を更新

Microsoftは火曜日、600件を超えるセキュリティ脆弱性の修正プログラムを公開しました。これにより7月は、先月樹立された過去最大記録の3倍以上という、プログラム史上最大のPatch Tuesdayとなりました。

脆弱性の件数は今年に入って急増を続けており、7月の膨大なリリースとなった622件のCVEは、過去3カ月分を合計した件数をも上回っています。

通常の手順から一転し、MicrosoftのSecurity Update Guideはこれらの脆弱性を個別のCVEとして列挙することをやめました。これまでの項目別一覧に代わり、製品ファミリー別の不具合件数を示す要約表と「注目すべきCVE」セクションが用意されています。個々のCVEに関する詳細な勧告は、別途利用可能です。Microsoftは昨年、ブラウザ関連の脆弱性件数が急増したことを受け、Chromiumの修正をガイドに掲載することを既に取りやめています。

Rapid7のAdam Barnett氏は「これらはすべて、脆弱性報告件数が爆発的に増加している最近の業界全体の傾向を裏付けるものに過ぎない」と記しています。「それに伴って、遅行指標としての修正プログラムの公開件数も増加している」としています。

修正プログラムの公開日は、サイバーセキュリティの防御側にとって定例サイクルの始まりを意味します。パッチが公開されると、攻撃者はそれを解析してどの穴が塞がれたのかをリバースエンジニアリングで突き止め、まだ更新を適用していないマシンへの侵入を競うように試みます。これはしばしば「Exploit Wednesday(エクスプロイト水曜日)」と呼ばれる現象です。詳細さに欠ける勧告は、防御側やサードパーティの追跡者が個別の勧告フィードから全体像を自ら組み立てなければならなくなるため、この選別作業を難しくするおそれがあります。

Microsoftとアナリストらは、脆弱性の発見件数が急速に増加している背景にAI支援ツールがあると示唆していますが、Microsoftは今月のCVEのうちどれだけがこうしたツールによって発見されたのか、具体的には明らかにしていません。

5月、同社は自社ソフトウェアのセキュリティ上の欠陥を探し出すために、MDASHと呼ばれる新たな社内AIシステムを使用していることを明らかにしました。当時、MicrosoftのSecurity Response Centerでエンジニアリング担当バイスプレジデントを務めるTom Gallagher氏は、今後もリリース規模は拡大傾向が続くとの見方を示していました。

英国のNational Cyber Security Centre(NCSC)も4月に同様の注意喚起を行い、緊急の更新プログラムが相次ぐ事態に備えるよう組織に呼びかけていました。しかし、その波は実際に到来したように見える一方で、それに対応するサイバー攻撃の急増は今のところ観測されていません。

Ciscoのエンジニア、Jerry Gamblin氏は今月初めに公開した分析の中で、脆弱性件数のグラフが「垂直に近い伸び方をしている」一方で、実際に悪用された脆弱性のグラフはそうなっていないと指摘しています。

同氏によれば、今年上半期に全ベンダーが公開した35,000件を超えるCVEのうち、米サイバーセキュリティ・インフラセキュリティ庁(CISA)のKnown Exploited Vulnerabilities(KEV)カタログに掲載されたのはわずか85件、割合にして0.24%にとどまっています。ただしGamblin氏は、悪用の事実が確認されるにつれてこの数字は今後上昇するだろうと補足しています。

すでに悪用されている2件の不具合

Microsoftによると、今月の脆弱性のうち2件は現在実際に悪用されています。1件目のCVE-2026-56164は、オンプレミス版SharePoint Serverにおける権限昇格の脆弱性で、認証されていない攻撃者がネットワーク経由で権限を昇格させることを可能にします。Microsoftはこれを「重要」と評価しており、CVSSスコアは5.3です。

2件目のCVE-2026-56155は、Active Directory Federation Servicesにおける権限昇格の脆弱性で、認証済みの攻撃者がローカルで権限を昇格させることを可能にします。Microsoftは、両方の発見についてインシデント対応部門であるDARTの功績としています。水曜日午前の時点でどちらもCISAのKEVカタログには掲載されていませんが、Microsoftは両方とも悪用されているとしています。

3件目のSharePoint関連の修正は、別の意味で注目を集めました。CVE-2026-55040は、Rapid7の研究者Stephen Fewer氏が発見しMicrosoftと協調して開示したセキュリティ機能バイパスの脆弱性で、Rapid7によれば、脆弱なサーバーに対する認証不要のリモートコード実行につながるエクスプロイトチェーンの前半部分に当たります。

このチェーンにおける2件目の脆弱性は現在も非公開扱いとなっており、Microsoftは8月に修正プログラムを提供する見込みです。Rapid7はこのバイパスの脆弱性を5.3と評価している一方、Trend MicroのZero Day Initiativeは9.1と評価しています。

今回のリリースでは、CVE-2026-50661についても修正されました。これは既に公表されているBitLockerのセキュリティ機能バイパスの脆弱性で、物理的にアクセス可能な攻撃者がドライブの暗号化を回避することを可能にします。Rapid7によると、この勧告は、6月のPatch Tuesdayの翌日にNightmare Eclipseという名前でGreatXMLとして発表された脆弱性と一致する内容だといいます。Nightmare Eclipseは、Microsoftと数カ月にわたり対立関係にある匿名の研究者です。ただし、Microsoftはこの点を確認していません。

Nightmare Eclipseは4月以降、未パッチのWindowsの不具合に対する動作可能なエクスプロイトコードをGitHubに投稿し続けており、今回のPatch Tuesdayに合わせて新たなエクスプロイトを公開すると予告していました。もっとも、公開直前の数日間で、この研究者はその予告を一部撤回していました。

その代わり、火曜日には同じ人物から「LegacyHive」というニックネームの新しい概念実証(PoC)コードが公開されました。これは、権限を持たない一般ユーザーが他のユーザーのレジストリハイブをマウントできるようにするものとみられています。

Microsoftは、Defenderにおける別の権限昇格の脆弱性であるCVE-2026-50656(通称RoguePlanet)について、Nightmare Eclipseが6月のリリース後に概念実証コードを投稿したことを受け、7月8日に定例外の更新プログラムで修正を行いました。Nightmare Eclipseはその後、この修正プログラムがディスク枯渇を引き起こす新たな攻撃経路を生み出していると主張しています。

翻訳元: https://therecord.media/microsoft-vulnerabilities-patch-tuesday-release

ソース: therecord.media