Microsoft、7月の月例更新で約570件を修正 悪用済みゼロデイ2件にまず対応を:セキュリティニュースアラート
Microsoftは、2026年7月の月例更新で約570件の脆弱性を修正した。AI活用で発見件数が急増し、ゼロデイ3件への対応と効率的な脆弱性管理の必要性を示した。
Microsoftは2026年7月14日(現地時間)、「Microsoft Windows」や「Microsoft Office」、「Microsoft SharePoint」、「Active Directory Federation Services」(AD FS)などを対象とした月例セキュリティ更新を公開し、約570件の脆弱(ぜいじゃく)性を修正した。
AD FSとSharePointの悪用済みゼロデイ、BitLockerの公開済み脆弱性に対応
Microsoftはこの更新で、権限昇格254件、リモートコード実行145件、情報漏えい102件、サービス拒否35件、セキュリティ機能回避17件、スプーフィング16件の脆弱性を修正した。権限昇格は全体の約44%、リモートコード実行は約4分の1を占めた。
修正対象のうちゼロデイ脆弱性は「CVE-2026-56155」「CVE-2026-56164」「CVE-2026-50661」の3件。重大度が「Critical」と評価されたものは59件だった。
実際に悪用が確認されたゼロデイ脆弱性の一つが、AD FSの権限昇格の脆弱性CVE-2026-56155とされる。アクセス制御の不備により、権限の低いローカルユーザーが管理者権限を取得できる。米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性(KEV)カタログに登録されており、Microsoft Security Update Guideでは悪用が確認済みと説明している。
もう一つの悪用済みゼロデイ脆弱性は「Microsoft SharePoint Server」のCVE-2026-56164だ。重要な機能に対する認証の欠如によって、認証なしにネットワーク経由で権限昇格が可能となる。対象はSharePoint Enterprise Server 2016、Server 2019、Subscription Editionで、MicrosoftはAMSIを有効化し、Request Body ScanをFullへ設定することを暫定的な緩和策として示した。ただし、更新プログラムの適用を置き換えるものではないとしている。この脆弱性もCISAのKEVカタログへ登録された。
3件目のゼロデイはWindows BitLockerのセキュリティ機能回避の脆弱性CVE-2026-50661。物理的に端末へアクセスできる攻撃者が暗号化データへアクセスできる可能性があるMicrosoftは、同脆弱性の実環境での悪用は確認しておらず、攻撃に使われる可能性は低いと評価している。この脆弱性は端末への物理アクセスが悪用の前提となるため、社外へ持ち出すノートPCなどでは更新の優先度が高い。
AIを活用した脆弱性検出システム「MDASH」(multi-model agentic scanning harness)の導入で重要なWindowsコンポーネントの解析が進み、今後も更新件数は増加する可能性がある。AdobeやCiscoも更新頻度の増加を公表しており、同様の傾向はほかのベンダーにも広がっている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoftが6月の月例パッチを公開 BitLockerやExchangeにゼロデイ脆弱性
Microsoftが2026年6月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲な製品が対象で、悪用確認済みのゼロデイ脆弱性などが修正された。同社は早急な適用を呼びかけている。
Microsoft、5月のセキュリティ更新を公開 認証不要の深刻な脆弱性4件に警戒
Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。
Microsoftが4月の月例更新を公開 過去2番目規模の160件超の脆弱性を修正
Microsoftは、月例セキュリティ更新で160件超の脆弱性を修正した。8件が重大、2件がゼロデイ脆弱性で、SharePointのなりすましやDefenderの権限昇格を含む。攻撃確認済みの問題もあり、迅速な更新適用が必要だ。
脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感
Anthropicは、AIモデル「Mythos Preview」で重要ソフトの多数の脆弱性を発見したと発表した。オープンソースを含む広範な調査で修正作業の負荷増大が課題となり、防御側の迅速な対応強化を訴えた。
関連リンク
- 2026年7月のセキュリティ更新プログラム (月例)
- CVE-2026-56155 - Security Update Guide - Microsoft - Active Directory Federation Services Elevation of Privilege Vulnerability
- CVE-2026-56164 - Security Update Guide - Microsoft - Microsoft SharePoint Server Elevation of Privilege Vulnerability
- CVE-2026-50661 - Security Update Guide - Microsoft - Windows BitLocker Security Feature Bypass Vulnerability