Microsoft 2026年7月 Patch Tuesday: 過去最多の570件のセキュリティ脆弱性を修正

Microsoft 2026年7月 Patch Tuesday: 過去最多の570件のセキュリティ脆弱性を修正

Microsoftは、Windowsオペレーティングシステムおよびその他のソフトウェアにわたる少なくとも570件のセキュリティ脆弱性に対処する、記録的なソフトウェアアップデートをリリースしました。この件数は、前月の記録的なPatch Tuesdayでリリースされた修正数のほぼ3倍に相当します。

AI駆動型の脆弱性発見

Microsoftは、パッチ数の大幅な増加について、脆弱性発見プロセスへの人工知能(AI)の統合を理由として挙げています。Microsoftのエグゼクティブ・バイス・プレジデントであるPavan Davuluri氏は、AIを活用することで、発見と分析の両方の新しいメカニズムを用いて、より多くの問題をより迅速に、かつより大規模なコードベース全体から見つけ出すことが可能になっていると述べています。

この傾向はMicrosoftに限ったことではありません。他の主要なソフトウェアベンダーも、AIによる加速を受けてパッチの頻度を増やしています:

  • Adobe は、月2回のセキュリティ速報へと移行しました。
  • Google は、2026年6月に900件以上のセキュリティ修正をリリースしました。
  • CiscoMozillaOracle も、より頻繁にアップデートを配信しています。

深刻な脆弱性とゼロデイ

7月に修正された570件のバグのうち、約60件が「重要(critical)」の深刻度評価を受けており、これは攻撃者が最小限のユーザー操作でWindowsデバイスをリモート制御できる可能性があることを示しています。

ゼロデイ攻撃の脆弱性

Microsoftは、現在進行形で悪用されているものを含む2つの脆弱性をはじめ、3つのゼロデイの欠陥に対処しました。これらは以下の通りです:

  • CVE-2026-56155: Active Directory Federation Servicesにおける権限昇格のバグ。
  • CVE-2026-56164: Microsoft SharePointにおける脆弱性。特筆すべきは、Microsoftが当初その悪用可能性を「可能性が低い(less likely)」と評価していたにもかかわらず、この欠陥が7月1日にCISAのKnown Exploited Vulnerabilitiesリストに追加されたことです。
  • CVE-2026-50661: Windows BitLockerにおけるセキュリティ機能のバイパス。攻撃者がデバイスに物理的にアクセスできる場合、暗号化されたデータへのアクセスを許す可能性があります。

リモートコード実行 (RCE)

CVE-2026-48561 は、Microsoft Copilotにおける高深刻度のリモートコード実行の脆弱性です(CVSSスコア 9.6)。攻撃者は、悪意のあるウェブサイトをホストすることで、Android版Microsoft Edgeの訪問時にCopilotへ細工工されたプロンプトを送信させることで、これを悪用することが可能です。

悪用可能性インデックスの形骸化

業界の専門家は、従来のリスク評価モデルがAIのスピードに追いつけていないと主張しています。TenableのSatnam Narang氏は、Microsoftの「悪用可能性インデックス(exploitability index)」が、機械の速度ではなく人間の能力に焦点を当てていると指摘しています。

AnthropicのRed Teamによる研究では、この脆弱性が実証されました。彼らのMythos Previewモデルは、Microsoftが「悪用可能性が低い(Exploitation Less Likely)」または「悪用可能性が低い(Exploitation Unlikely)」と評価した14件の脆弱性のうち、13件に対して概念実証(PoC)の攻撃コードを生成することに成功しました。

技術的分析とコミュニティの視点

パッチのリリースに関する分析によると、合計570件の件数は、Microsoft独自のコードだけでなく、サードパーティの依存関係から引き継がれた脆弱性も含んでいます。例えば、Azure Linuxディストリビューション(旧Mariner)における脆弱性は、OpenSSHのようなオープンソースプロジェクトの修正を含んでいます。これらのOpenSSHの修正の一部は、Swival Security ScannerのようなLLMベースのツールを使用して具体的に検出されました。

コミュニティの議論では、現在のWindowsセキュリティの状況に関して、いくつかの懸念事項が強調されています:

  • パッチの安定性: 膨大な量の変更が含まれているため、パッチの適用によってシステム安定性に新たな問題が発生するリスクが高まっています。
  • 依存関係の肥大化: Chromium(Microsoft Edgeに影響)のようなコンポーネントにおけるCVEの多さは、「素早く動いて壊す(move fast and break things)」開発文化の症状であると指摘されています。
  • 報告の摩擦: ユーザーは、公式のフィードバック・チャンネルを通じてバグを報告しても結果が得られないことが多いと報告しており、これはユーザーが報告した問題と開発者の可視性との間にギャップがあることを示唆しています。

管理者への推奨事項

今回のリリースにおける前例のないパッチ数に基づき、ユーザーおよび管理者は以下の事項を推奨します:

  1. フルバックアップの実施: アップデートを適用する前に、すべての重要なシステムおよびデータのバックアップが最新であることを確認してください。
  2. 段階的な展開: 高いパッチ数による潜在的なリグレッション(先祖返り)を避ける、および安定性を確保するため、これらのアップデートを生産環境へ展開する前に数日間待機することを検討してください。

Sources