Microsoftが過去最多200件超の脆弱性修正 パッチ管理の「手作業」はもう限界か？：「パッチアポカリプス」現実に

Microsoftが過去最多となる約200件の脆弱性修正を公開した。サードパーティー製を含め月間600件に迫る「パッチアポカリプス」が到来している。情シスは従来の手法では対処しきれないパッチ管理の限界と、修正品質のリスクに直面している。

[Alex Scroxton，Computer Weekly]

　Microsoftは、最新の月例セキュリティ更新（パッチチューズデー）で約200件の脆弱性を修正した。これは2025年10月に記録した約170件という従来の「共通脆弱性識別子（CVE）」の最高記録を大幅に塗り替えるものだ。

　今回の更新では、合計32件の「緊急（Critical）」な脆弱性と3件のゼロデイ脆弱性が修正されている。

　TrendAIのZero Day Initiativeで脅威啓発部門の責任者を務めるダスティン・チャイルズ氏は、「サイバーセキュリティにとって、非常にリスクの高い夏を迎えようとしている」と述べる。同氏によれば、6月の記録的なパッチ公開は、AIが制御不能な規模で脆弱性の発見を加速させているという強い警告だという。「Microsoftが2026年に公開したCVEの総数は、既に2018年通年の件数を超えている。1カ月でこれほど多くのパッチを作成できるのは驚異的だが、品質面でどのような問題があるのか、多くのテスターが懸念しているだろう」と同氏は指摘する。

　Google ChromeやMicrosoft Edge（Chromium）、その他のサードパーティー製ソフトの脆弱性を含めると、修正件数は合計で約600件に達する。企業向けにIT資産管理やエンドポイントセキュリティなどを提供する米Ivantiのセキュリティ製品管理担当バイスプレジデントであるクリス・ゲトル氏は、もはや「パッチアポカリプス（パッチの黙示録）」という言葉は大げさではなくなったと話す。

　「われわれは今、パッチアポカリプスの中にいる。これは脅しではなく、大半の企業が予測していた課題が、2026年上半期に新世代のLLM（大規模言語モデル）によって急加速した結果を示しているのだ」（ゲトル氏）

　同氏は、「ベンダーがCVEを修正するペースは、かつてないほど速く継続的になる。残念ながら、これにはこれまで以上に多くのゼロデイ脆弱性や、修正公開後に悪用される『Nデイ攻撃』が含まれるだろう。2023年の脅威インテリジェンスデータでは、ベンダーの修正公開から悪用までの期間は既に5日間に短縮されている」と付け加えている。

　同氏によると、Oracle、Google、Mozillaなどの多くのベンダーが、脆弱性の特定と解決のためにセキュリティ研究でAIツールの活用を認めており、更新頻度を上げている。Microsoftもこれに続くかどうか、今後の動向が注目される。

3件のゼロデイ脆弱性について

「Windowsの脆弱性管理」に関連する編集部お薦め記事

　2026年6月のゼロデイ脆弱性は以下の通りだ。

• CVE-2026-45586：Windows Collaborative Translation Framework（CTFMON）の権限昇格（EoP）の脆弱性
• CVE-2026-49160：HTTP.sysのサービス拒否（DoS）の脆弱性
• CVE-2026-50507：Windows BitLockerのセキュリティ機能のバイパス（SFB）の脆弱性

　これら3つの脆弱性のCVSSスコアは6から8の間で、既に公開されているが、現時点では悪用の事実は確認されていない。

　リモートエンドポイント管理や脆弱性パッチ管理プラットフォームを提供する米Action1のCEO兼共同創設者であるアレックス・ヴォフク氏によれば、CVE-2026-45586を悪用されると、認証済みのローカル攻撃者が容易にシステムレベルの権限を取得できるという。

　「この問題は、ファイルアクセス前の不適切なリンク解決、いわゆる『リンク追跡』に起因する。Windowsが不適切なタイミングで間違ったリンクをたどることで、低い権限しか持たない攻撃者がシステムを完全に制御できる可能性がある」とヴォフク氏は解説する。

　ヴォフク氏は、システムアクセスが許可されると、マルウェアのインストールや防御回避、認証情報の窃取、データの改ざんなどが可能になり、環境全体への侵害が深まると警告する。企業にとっては、フィッシングや盗まれた認証情報による被害が拡大する恐れがある。同氏は「アクティブな悪用は報告されていないが、この種のバグは軽微なローカル侵害をエンドポイントの完全な支配に変えてしまうため、優先的にパッチを適用すべきだ」と付け加えた。

ネットワーク経由のDoSとBitLockerのバイパス

　一方、HTTP.sysに存在するCVE-2026-49160は、リソース消費の制御不能に起因する。Action1のプレジデント兼共同創設者であるマイク・ウォルターズ氏によれば、未認証の攻撃者がネットワーク越しにDoS攻撃を引き起こす可能性があるという。

　「この脆弱性によってデータが流出したりコードが実行されたりすることはないが、影響を受けるWindowsシステムに依存するサービスが中断される恐れがある。Webサービスや内部アプリケーション、API、ビジネスシステムが停止すれば、ダウンタイムや取引の失敗、生産性の低下、顧客への影響、運用コストの増大を招く」とウォルターズ氏は述べる。

　悪用の可能性が高いことに加え、ネットワーク経由で認証なしに攻撃できることから、この脆弱性も優先的に修正すべき対象だ。

　最後に、Windows BitLockerのCVE-2026-50507は、デバイス暗号化の処理の保護メカニズムの不備に起因する。物理的にデバイスへアクセスできる場合、攻撃者は認証情報なしで暗号化された保存データにアクセスできる可能性がある。

　Action1で脆弱性調査ディレクターを務めるジャック・バイサー氏は、物理アクセスが必要である点は制約になるものの、その影響は大きいと指摘する。

　「BitLockerは、デバイスの紛失や盗難時に機密データを保護するために一般的に信頼されている手段だ。このバイパスが成功すれば、機密情報や顧客データ、知的財産などが流出する恐れがある」とバイサー氏は話す。特にコンプライアンス要件として暗号化が求められる環境では、規制違反や通知義務の発生、評判の低下、金銭的損失につながりかねない。

　バイサー氏は、モバイルデバイスを多く保有し、リモートワークやハイブリッドワークを推進している企業は、このBitLockerの修正を優先すべきだと推奨している。

過去の月例パッチ更新の状況

• 2026年5月：ゼロデイ脆弱性は修正されなかったが、管理者にとって検討すべき課題は山積みだった
• 2026年4月：160件以上の問題が対象となり、当時としては史上最大規模の1つだった
• 2026年3月：.NETとSQL Serverのゼロデイ、および重大なRCE（リモートコード実行）バグが中心だった
• 2026年2月：6件のゼロデイ脆弱性を修正。その多くはセキュリティ機能のバイパス関連だった
• 2026年1月：例年通り、年始にふさわしい大規模な更新となった
• 2025年12月：56件の新たなCVEが追加され、年間の合計は1100件を超えた
• 2025年11月：Windowsカーネルの権限昇格の脆弱性が最優先事項だった
• 2025年10月：Windows 10のサポートは終了しているが、それでもパッチの影響を受ける事実は変わらない