Microsoftは2026年最初のパッチチューズデーを公開し、さまざまなデジタル脅威からユーザーを守るための大規模なセキュリティ修正を提供しました。今月、同社は115件の脆弱性に対処しており、そのうち8件は最もリスクが高い「Critical(重大)」、106件は「Important(重要)」に分類されています。
この用語に馴染みのない方のために説明すると、Patch Tuesday(パッチチューズデー)とは、Microsoftがセキュリティ上の穴を修正する更新プログラムを定期的に公開する日のことです。今回1月の更新は、Windows 11やMicrosoft OfficeからEdgeブラウザーまで、幅広く対象となっています。
ゼロデイ脅威と進行中のリスク
最も差し迫った問題の一つは、修正が用意される前に発見された欠陥を指す3件のゼロデイ脆弱性に対する修正です。対象は以下のとおりです。
CVE-2026-20805(Desktop Window Manager):QualysやCrowdStrikeなどの調査企業のデータによると、この欠陥はすでに実環境で攻撃者に悪用されています。これは情報漏えいのバグで、ハッカーがコンピューターのメモリ内にある機密データを覗き見できてしまいます。
専門家は、これがより深刻な攻撃への足がかりとして使われることが多いと警告しています。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2026年2月3日までにこのパッチを適用するよう、すべての人に呼びかけています。
CVE-2023-31096(Agere Soft Modem Driver):公に開示されているものの、現時点で実際の攻撃での悪用は確認されていないこの欠陥は、ハッカーが完全なSYSTEM権限を取得できる可能性がありました。Microsoftは古いドライバーを完全に削除することで修正しました。
CVE-2026-21265(Secure Boot):これは期限切れとなる証明書に関する問題で、攻撃者がSecure Bootの保護(コンピューターが信頼されたソフトウェアのみで起動することを保証する仕組み)を回避できる可能性があります。
OfficeとWindowsに対する重大な修正
今回の更新では、危険なリモートコード実行(RCE)脆弱性も修正されています。未修正のままだと、ハッカーが遠隔地からあなたのコンピューター上で悪意あるソフトウェアを実行できる可能性があります。
注目すべき点として、CVE-2026-20952、CVE-2026-20953(Office)、CVE-2026-20944(Word)、CVE-2026-20955(Excel)を含む複数のバグは、ユーザーが悪意のあるファイルを開いたり、プレビューウィンドウで細工されたメールを表示したりするだけで、ハッカーがコンピューターを乗っ取れる可能性があります。
セキュリティ研究者からの見解
Hackread.comに独占共有された調査の中で、Action1のチームはこれらのリスクについてさらなる見解を提供しました。同社の脆弱性リサーチ担当ディレクターであるJack Bicer氏は、Windows Graphicsのバグ(CVE-2026-20822)は、制限されたユーザーが権限を昇格して完全な制御を得られるため、企業にとって特に緊急性が高いと述べています。
同社はさらに、ブログ投稿の中で、Windowsの認証サービスであるLSASSもCVE-2026-20854を通じてリスクにさらされていたと指摘しました。ご存じのとおり、このサービスはパスワードを扱っており、ここに欠陥があるとハッカーがオフィス全体のネットワーク内を横断的に移動できる可能性があります。さらに、CVE-2026-20876はOSの保護レイヤーに対する重大な脅威として特定されました。
なお、115件もの修正は圧倒されるように見えるかもしれませんが、一般家庭のユーザーの多くはこれらの更新を自動的に受け取ります。次回の更新は2月10日に公開される見込みです。
翻訳元: https://hackread.com/microsoft-january-2026-patch-tuesday-vulnerabilities/
