Microsoftは本日、同社の各種Windowsオペレーティングシステムおよびサポート対象ソフトウェアに存在する少なくとも113件のセキュリティホールを塞ぐパッチを公開しました。8件の脆弱性には、Microsoftが最も深刻とする「Critical(緊急)」評価が付与されており、同社は本日修正された不具合のうち1件について、攻撃者がすでに悪用していると警告しています。
1月のMicrosoftのゼロデイ欠陥――CVE-2026-20805――は、Desktop Window Manager(DWM)における欠陥に起因します。DWMは、ユーザーの画面上のウィンドウを整理するWindowsの重要コンポーネントです。Immersiveでサイバー脅威リサーチ担当シニアディレクターを務めるKev Breen氏は、CVE-2026-20805のCVSSスコアが5.5と中程度であるにもかかわらず、Microsoftが実環境での能動的な悪用を確認していると述べ、脅威アクターがすでにこの欠陥を組織に対して利用していることを示していると指摘しました。
Breen氏によれば、この種の脆弱性は、バッファオーバーフローやその他のメモリ操作型エクスプロイトから保護するために設計されたOSの中核的なセキュリティ制御であるアドレス空間配置のランダム化(ASLR)を無力化する目的で一般的に用いられます。
「メモリ上のどこにコードが存在するかを明らかにすることで、この脆弱性は別のコード実行の欠陥と連鎖させることができ、複雑で信頼性の低いエクスプロイトを、実用的で再現可能な攻撃へと変えてしまいます」とBreen氏は述べました。「Microsoftは、そのようなエクスプロイトチェーンにどの追加コンポーネントが関与し得るかを開示しておらず、防御側が関連する活動を能動的に脅威ハンティングする能力を大きく制限しています。その結果、現時点で有効な緩和策は迅速なパッチ適用のみです。」
Ivantiでプロダクトマネジメント担当バイスプレジデントを務めるChris Goettl氏は、CVE-2026-20805が、現在サポートされているWindows OSの全バージョンおよび拡張セキュリティ更新(ESU)でサポートされている全バージョンに影響すると指摘しました。Goettl氏は、この欠陥の重大性を「Important(重要)」という評価や比較的低いCVSSスコアに基づいて軽視するのは誤りだと述べました。
「リスクベースの優先順位付け手法に照らすと、この脆弱性はベンダー評価や付与されたCVSSスコアよりも高い重大度として扱うべきです」と同氏は述べました。
今月修正されたCritical(緊急)な欠陥の中には、Microsoft Officeのリモートコード実行バグ2件(CVE-2026-20952およびCVE-2026-20953)が含まれており、プレビューウィンドウで細工されたメッセージを表示するだけでトリガーされ得ます。
2025年10月のパッチ チューズデーの「End of 10」まとめでは、ハッカーがその脆弱性を悪用してシステムに侵入していたことが判明したため、Microsoftが全バージョンからモデムドライバーを削除したと記しました。Rapid7のAdam Barnett氏は、本日Microsoftが同様の理由でWindowsから別のモデムドライバーをさらに2つ削除したと述べました。Microsoftは、非常によく似たモデムドライバーにおける特権昇格の脆弱性(CVE-2023-31096)について、機能するエクスプロイトコードの存在を把握しているというのです。
「誤記ではありません。この脆弱性は、MITREを通じて2年以上前に最初に公開され、元の研究者による信頼できる公開解説も併せて出ていました」とBarnett氏は述べました。「本日のWindowsパッチでは、agrsm64.sysとagrsm.sysが削除されます。これら3つのモデムドライバーはいずれも、現在は消滅した同一のサードパーティによって開発されたもので、何十年にもわたりWindowsに含まれてきました。これらのドライバー削除は多くの人には気づかれないでしょうが、産業用制御システムなど、いくつかの文脈では依然として稼働中のモデムが見つかるかもしれません。」
Barnett氏によれば、2つの疑問が残ります。完全にパッチ適用されたWindows資産に、旧式のモデムドライバーがあといくつ残っているのか。そして、Microsoftが「埃をかぶった古いデバイスドライバーという一群全体を悪用して“living off the land[line]”を楽しんできた攻撃者」を締め出すまでに、そこからSYSTEM権限への昇格脆弱性があといくつ現れるのか、という点です。
「MicrosoftはCVE-2023-31096の悪用の証拠があるとは主張していませんが、関連する2023年の解説と、2025年に別のAgere製モデムドライバーが削除されたことは、その間にWindowsエクスプロイトを探している人にとって2つの強いシグナルになっています」とBarnett氏は述べました。「念のため言っておくと、モデムを接続している必要はありません。ドライバーが存在するだけで資産は脆弱になります。」
Immersive、Ivanti、Rapid7はいずれも、Windows Secure Bootに影響するCritical(緊急)なセキュリティ機能バイパス脆弱性であるCVE-2026-21265に注意を促しました。このセキュリティ機能は、ルートキットやブートキットのような脅威から保護するために設計されており、2026年6月および2026年10月に失効予定の一連の証明書に依存しています。これら2011年の証明書が失効すると、新しい2023年の証明書を持たないWindowsデバイスは、Secure Bootのセキュリティ修正を受け取れなくなります。
Barnett氏は、ブートローダーとBIOSを更新する際には、対象としているOSとBIOSの組み合わせに合わせて事前に十分な準備を行うことが不可欠だと注意を促しました。誤った対処手順は、システムが起動不能になる可能性があるためです。
「情報セキュリティの世界では15年は非常に長い時間ですが、Stuxnetの時代以来、Secure Bootエコシステムの事実上あらゆるものに署名してきたMicrosoftのルート証明書の期限が迫っています」とBarnett氏は述べました。「Microsoftは2023年に代替証明書を発行しており、BlackLotusブートキットによって悪用されたSecure Bootバイパスを是正するための、その後の手順とともに、関連するWindowsパッチを含むCVE-2023-24932も公開されました。」
Goettl氏は、Mozilla がFirefoxおよびFirefox ESR向けに、合計34件の脆弱性を解消する更新をリリースしたと指摘しました。このうち2件(CVE-2026-0891およびCVE-2026-0892)は悪用されている疑いがあります。いずれもFirefox 147(MFSA2026-01)で解消され、CVE-2026-0891はFirefox ESR 140.7(MFSA2026-03)でも解消されています。
「今週は、Google ChromeとMicrosoft Edgeの更新も見込まれます。加えて、1月6日のChrome更新で解消されたChrome WebViewの高深刻度の脆弱性(CVE-2026-0628)もあります」とGoettl氏は述べました。
いつものとおり、SANS Internet Storm Centerには、深刻度と緊急度ごとのパッチ内訳があります。Windows管理者は、すべてと相性よく動かないパッチに関するニュースがないか、askwoody.comにも注意しておくべきです。1月のパッチのインストールに関連して何らかの問題が発生した場合は、下のコメント欄に書き込んでください。
翻訳元: https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/
