CSOは、今年期限切れとなる3つの証明書に関する更新プログラムもインストールすべきだ。
重大な脆弱性が8件、そして積極的に悪用されているゼロデイが、Microsoftが2026年に最初に発表したパッチチューズデーの告知の注目点となっている。
高いスコアの脆弱性の多くはOffice製品に影響し、SharePointの2つの欠陥はCVSSスケールで8.8を記録している。
「昨年、中国のAPTがSharePointを悪用してToolShellを組織に展開した事例は、SharePointおよびOffice関連の脆弱性が脅威アクターの間で急速に人気化し得ることへの警告となるはずだ」と、Nightwingのサイバーインシデント対応マネージャーであるNick Carrollは指摘した。
CVSS評価が8.8となったもう1つの脆弱性は、WindowsのRouting and Remote Access Serviceに関するCVE-2026-20868だ。これはヒープベースのバッファオーバーフローで、未認証の攻撃者がネットワーク越しにコードを実行できる。さらに、このサービスにおける低スコアの欠陥(CVE-2026-20843)に対するパッチもあり、こちらは特権昇格を可能にする。
Desktop Windows Manager
おそらくCSOが注目すべき脆弱性は、すでに悪用されているCVE-2026-20805だろう。公開された概念実証(PoC)コードはない。Desktop Windows Manager(DWM)の欠陥で、ローカルで認証された攻撃者がメモリ内の情報を閲覧し、システム保護を弱体化させる手掛かりを得て、DWMに依存するITシステムへさらに侵入を深められる。
悪用には、低い権限でのローカルアクセスが必要で、ユーザー操作は不要であるため、すでにシステム内に存在する攻撃者にとって実行可能だと、Action1の研究者は指摘している。
この脆弱性は、組織にとって成功する多段階攻撃のリスクを高めると、Action1の脆弱性研究ディレクターであるJack Bicerは述べた。漏えいしたメモリの詳細は他の脆弱性と組み合わせて、特権昇格やデータ窃取を実現し得るため、より広範なシステム侵害、規制上の露出、信頼の喪失につながる可能性がある。
パッチを直ちに適用できない場合は、ローカルアクセスを制限し、最小権限ポリシーを徹底し、不審なローカル活動がないかシステムを厳密に監視すべきだと、同氏は述べた。
「リスクの観点から、この問題は後続のエクスプロイトの成功率を実質的に高める」とBicerは警告し、「単独の欠陥というより、攻撃を可能にする要因として捉えるべきだ」と述べた。
Tenableのシニアスタッフ研究エンジニアであるSatnam Narangは、DWMはパッチチューズデーで「常連」であり、2022年以降このライブラリで20件のCVEが修正されていると述べた。ただし、このコンポーネントの情報漏えいバグが実環境で悪用されているのを研究者が確認したのは今回が初めてだという。
さらなる優先事項
Bicerによれば、経営層は今月、Windows Local Security Authority Subsystem Serviceのリモートコード実行、Windows Graphics Componentの特権昇格、Windows Virtualization Based Security Enclaveの特権昇格の欠陥についても、迅速なパッチ適用とリスク低減の取り組みを優先すべきだ。これらの脆弱性は、完全なシステム侵害や信頼境界の侵害を直接可能にするためである。
戦略的な重点には、重大および重要な欠陥に対するパッチ展開の加速、不要なローカルアクセスの削減、認証経路の強化、異常な特権昇格の挙動の厳密な監視を含めるべきだと、Bicerは述べた。
「Desktop Window Managerの情報漏えいについても、悪用が確認されており連鎖攻撃を可能にする役割があるため、並行して対処すべきだ」と同氏は付け加えた。
Secure Boot証明書
セキュリティ専門家はまた、2011年に発行された特定のSecure Boot証明書が、1月のパッチに含まれる更新プログラムをインストールしない限り、6月または10月に期限切れになるというMicrosoftの警告にも注意を促した。詳細はCVE-2026-21265に記載されている。Secure BootはWindowsの起動プロセス中に悪意あるコードが読み込まれるのを防ぐが、期限までに更新されないシステムはSecure Bootの回避に対して脆弱になる可能性がある。
Ivantiのプロダクトマネジメント担当バイスプレジデントであるChris Goettlは、これを「企業セキュリティにとっての時限爆弾であり、深刻な運用上の問題に直面する前にITチームが今すぐ対処する必要がある」と述べた。
さらに、FortraのセキュリティR&D担当アソシエイトディレクターであるTyler Regulyは、期限切れ証明書の修正に関するMicrosoftのドキュメントが単一ページではなく、ITプロフェッショナル向けの完全な展開プレイブックを含む多数のリンクで構成されていると指摘した。「準備期間が半年を切っている。環境とチームがこの更新に備えられていることを確認すべき時だ」と同氏は述べた。
悪用される可能性が高いもの
Regulyはまた、今月のより興味深い更新の1つとして、Windows Agere Soft Modem Driverの特権昇格(CVE-2023-31096)問題の修正を挙げた。「3年前のCVEが登場するのは珍しいが、Microsoftがようやく以前から存在していた問題を整理している」と同氏は述べた。このドライバーはMicrosoft Windowsに同梱されているが、この脆弱性に関する投稿によれば、当該ドライバーは2016年にサポート終了となっている。この脆弱性への対策は、影響を受けるドライバーであるagrsm64.sysとagrsm.sysをシステムから削除するだけだ。
NightwingのNick Carrollは、Microsoftが「悪用される可能性が高い」としている脆弱性のパッチ適用に、セキュリティリーダーは注意を払うべきだと述べている。該当するのは次のとおり:
- Windows Error Reportingにおける権限の不適切な取り扱い(CVE-2026-20817)により、認可された攻撃者がローカルで特権を昇格できる可能性がある;
- Windows Common Log File System Driverにおけるバッファオーバーフロー(CVE-2026-20820)により、認可された攻撃者がローカルで特権を昇格できる可能性がある;
- Windows NTFSにおいてリモートコード攻撃につながり得るバッファオーバーフロー(CVE-2026-20840)。
これは今月フラグが立てられた2件のNTFS問題のうちの1つだと、Immersiveのサイバー脅威研究シニアディレクターである Kev Breenは指摘した。技術的詳細が公開されれば、これはn-day脆弱性になり得ると同氏は警告しており、悪用が広範化する前にITがパッチを適用できる期間が狭くなる可能性がある; - Windows Ancillary Function Driver for WinSockの問題により、認可された攻撃者がローカルで特権を昇格できる(CVE-2026-20860);
- Desktop Windows Managerにおける特権昇格の問題(CVE-2026-20871);
- Windows NTFSにおけるリモートコード実行の脆弱性(CVE-2026-20922)。
SAPの更新
別途、SAPは19件の新規または更新されたセキュリティパッチをリリースし、これには6件の HotNews ノートと4件の High Priority ノートが含まれる。最も重要なものの1つは、S/4HANA Private Cloudおよびオンプレミス(財務—総勘定元帳)における重大なSQLインジェクション脆弱性で、CVSSスコアは9.9。 悪用されると、低権限ユーザーによってシステム全体が侵害される可能性がある。加えて、CVSSスコア9.1のコードインジェクション脆弱性も、S/4HANA Private Cloudおよびオンプレミスで修正された。
OracleとMozilla
Ivantiの研究者は、MozillaがFirefoxおよびFirefox ESR向けに3つの更新をリリースし、合計34件のCVEを解決したと指摘している。3つの更新はいずれも影響度評価がHighである。CVEのうち2件は悪用されていた疑いがある(CVE-2026-0891およびCVE-2026-0892)。両方ともFirefox 147(MFSA2026-01)で解決され、CVE-2026-0891はFirefox ESR 140.7(MFSA2026-03)でも解決されている。
最後に、Nightwingの研究者は、Oracleの管理者は同社が年4回実施する主要パッチ日のうち今年最初のものに備えるべきだと指摘している。今年は1月20日(火)に当たる。1月15日に事前告知が出るはずで、組織が今後の内容に備える助けとなるだろう。
