2026年7月のパッチチューズデーでMicrosoftのCVE622件を修正、ゼロデイ3件含む

ちょうど1ヶ月前の2026年6月のパッチチューズデーは、CVE206件・ゼロデイ3件という、それまでのMicrosoftの記録を更新しました。今回の7月はその件数をさらに3倍に押し上げ、AIによる脆弱性発見が加速する中で「小規模な」パッチチューズデーの時代は終わりを迎えつつあることを改めて示しています。

今回の更新には深刻度「緊急」の脆弱性59件に加え、一般公開済みのゼロデイが3件含まれています。Microsoftがこれらをゼロデイに分類しているのは、パッチが提供される前に脆弱性の情報が公になっていたためです。このうち2件は、攻撃者による実際の悪用が確認されています。

パッチの適用方法と保護状態の確認方法

これらの更新プログラムはセキュリティ上の問題を修正し、Windows PCを保護し続けるためのものです。最新の状態になっているかどうかを確認する手順は以下の通りです。

1. 設定を開く

  • スタートボタンをクリックし、設定を開きます。

2. Windows Updateに移動

  • Windows Updateを選択します(通常は左側メニューの下部にあります)。

3. 更新プログラムのチェック

  • 更新プログラムのチェックをクリックすると、Windowsが最新のセキュリティ更新プログラムを検索します。
  • その他のオプション更新プログラムが利用可能になり次第、最新の状態にするを有効にしている場合、すぐに再起動を求められることがあります。その場合は、コンピューターを再起動して更新を完了させてください。そうでない場合は、次の手順に進みます。
    Image

4. ダウンロードとインストール

  • 更新プログラムが利用可能な場合、自動的にダウンロードが始まります。準備が整ったら、インストールをクリックするか、表示された場合は今すぐ再起動をクリックしてください。更新を完了するためにコンピューターの再起動が必要になる場合があります。

5. 最新の状態になっているか再確認

  • 再起動後、再度Windows Updateに戻って確認します。最新の状態ですと表示されれば完了です。
Image

技術的な詳細

3件のゼロデイを見ていきましょう。

1件目は、Windows BitLockerのセキュリティ機能バイパスの脆弱性で、CVE-2026-50661として追跡されています。実際に悪用されているという報告はありません。Microsoftはこの脆弱性について次のように説明しています。

「Windows BitLockerにおける保護メカニズムの機能不全により、権限を持たない攻撃者が物理的な攻撃によってセキュリティ機能をバイパスできる可能性があります。」

つまり、BitLockerでマシンを暗号化していたとしても、攻撃者がコンピューターに物理的にアクセスできる状況にあれば、この脆弱性を悪用してデータにアクセスされる恐れがあるということです。

次に紹介するのは、実際に悪用が確認されているCVE-2026-56155で、Active Directory Federation Services(ADFS)の権限昇格(EoP)の脆弱性です。ADFSは、シングルサインオン(SSO)とフェデレーションアクセスを提供するMicrosoftのソフトウェアコンポーネントで、組織のActive Directoryとアプリケーションの間で信頼の仲介役を果たします。この脆弱性の悪用に成功した攻撃者は、管理者権限を取得できる可能性があります。報道によれば、Microsoftはこの脆弱性を、実際に発生していた攻撃を調査する過程で発見したとのことです。

最後はCVE-2026-56164で、Microsoft SharePoint Serverの権限昇格の脆弱性です。SharePoint Serverは、Microsoftが提供するWebベースのコラボレーション・ドキュメント管理プラットフォームのオンプレミス版です。Microsoft Office SharePointにおける認証チェックの欠落により、攻撃者がネットワーク経由で権限を昇格できる可能性があります。

実際に悪用が確認された2件の脆弱性はいずれも、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)の「既知の悪用された脆弱性」(KEV)カタログに追加されており、これにより連邦政府の文民機関(FCEB)向けのパッチ適用期限が定められます。CISAはまた、今回の悪用を受けて、SharePoint Serverを利用する組織に対し、堅牢化対策の実施を強く呼びかけています


Image

「地球上で最高のセキュリティスイートの一つ」 

CNETによる評価です。レビューを読む


翻訳元: https://www.malwarebytes.com/blog/bugs/2026/07/july-2026-patch-tuesday-fixes-622-microsoft-cves-including-three-zero-days

ソース: malwarebytes.com