Microsoftは、2026年7月の月例更新で約570件の脆弱性を修正した。AI活用で発見件数が急増し、ゼロデイ3件への対応と効率的な脆弱性管理の必要性を示した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは2026年7月14日(現地時間)、「Microsoft Windows」や「Microsoft Office」、「Microsoft SharePoint」、「Active Directory Federation Services」(AD FS)などを対象とした月例セキュリティ更新を公開し、約570件の脆弱(ぜいじゃく)性を修正した。
Microsoftはこの更新で、権限昇格254件、リモートコード実行145件、情報漏えい102件、サービス拒否35件、セキュリティ機能回避17件、スプーフィング16件の脆弱性を修正した。権限昇格は全体の約44%、リモートコード実行は約4分の1を占めた。
修正対象のうちゼロデイ脆弱性は「CVE-2026-56155」「CVE-2026-56164」「CVE-2026-50661」の3件。重大度が「Critical」と評価されたものは59件だった。
実際に悪用が確認されたゼロデイ脆弱性の一つが、AD FSの権限昇格の脆弱性CVE-2026-56155とされる。アクセス制御の不備により、権限の低いローカルユーザーが管理者権限を取得できる。米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性(KEV)カタログに登録されており、Microsoft Security Update Guideでは悪用が確認済みと説明している。
もう一つの悪用済みゼロデイ脆弱性は「Microsoft SharePoint Server」のCVE-2026-56164だ。重要な機能に対する認証の欠如によって、認証なしにネットワーク経由で権限昇格が可能となる。対象はSharePoint Enterprise Server 2016、Server 2019、Subscription Editionで、MicrosoftはAMSIを有効化し、Request Body ScanをFullへ設定することを暫定的な緩和策として示した。ただし、更新プログラムの適用を置き換えるものではないとしている。この脆弱性もCISAのKEVカタログへ登録された。
3件目のゼロデイはWindows BitLockerのセキュリティ機能回避の脆弱性CVE-2026-50661。物理的に端末へアクセスできる攻撃者が暗号化データへアクセスできる可能性があるMicrosoftは、同脆弱性の実環境での悪用は確認しておらず、攻撃に使われる可能性は低いと評価している。この脆弱性は端末への物理アクセスが悪用の前提となるため、社外へ持ち出すノートPCなどでは更新の優先度が高い。
AIを活用した脆弱性検出システム「MDASH」(multi-model agentic scanning harness)の導入で重要なWindowsコンポーネントの解析が進み、今後も更新件数は増加する可能性がある。AdobeやCiscoも更新頻度の増加を公表しており、同様の傾向はほかのベンダーにも広がっている。
Microsoftが6月の月例パッチを公開 BitLockerやExchangeにゼロデイ脆弱性
Microsoft、5月のセキュリティ更新を公開 認証不要の深刻な脆弱性4件に警戒
Microsoftが4月の月例更新を公開 過去2番目規模の160件超の脆弱性を修正
脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感Copyright © ITmedia, Inc. All Rights Reserved.