検索
ニュース

Microsoft、7月の月例更新で約570件を修正 悪用済みゼロデイ2件にまず対応をセキュリティニュースアラート

Microsoftは、2026年7月の月例更新で約570件の脆弱性を修正した。AI活用で発見件数が急増し、ゼロデイ3件への対応と効率的な脆弱性管理の必要性を示した。

Share
Tweet
LINE
Hatena

 Microsoftは2026年7月14日(現地時間)、「Microsoft Windows」や「Microsoft Office」、「Microsoft SharePoint」、「Active Directory Federation Services」(AD FS)などを対象とした月例セキュリティ更新を公開し、約570件の脆弱(ぜいじゃく)性を修正した。

AD FSとSharePointの悪用済みゼロデイ、BitLockerの公開済み脆弱性に対応

 Microsoftはこの更新で、権限昇格254件、リモートコード実行145件、情報漏えい102件、サービス拒否35件、セキュリティ機能回避17件、スプーフィング16件の脆弱性を修正した。権限昇格は全体の約44%、リモートコード実行は約4分の1を占めた。

 修正対象のうちゼロデイ脆弱性は「CVE-2026-56155」「CVE-2026-56164」「CVE-2026-50661」の3件。重大度が「Critical」と評価されたものは59件だった。

 実際に悪用が確認されたゼロデイ脆弱性の一つが、AD FSの権限昇格の脆弱性CVE-2026-56155とされる。アクセス制御の不備により、権限の低いローカルユーザーが管理者権限を取得できる。米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性(KEV)カタログに登録されており、Microsoft Security Update Guideでは悪用が確認済みと説明している。

 もう一つの悪用済みゼロデイ脆弱性は「Microsoft SharePoint Server」のCVE-2026-56164だ。重要な機能に対する認証の欠如によって、認証なしにネットワーク経由で権限昇格が可能となる。対象はSharePoint Enterprise Server 2016、Server 2019、Subscription Editionで、MicrosoftはAMSIを有効化し、Request Body ScanをFullへ設定することを暫定的な緩和策として示した。ただし、更新プログラムの適用を置き換えるものではないとしている。この脆弱性もCISAのKEVカタログへ登録された。

 3件目のゼロデイはWindows BitLockerのセキュリティ機能回避の脆弱性CVE-2026-50661。物理的に端末へアクセスできる攻撃者が暗号化データへアクセスできる可能性があるMicrosoftは、同脆弱性の実環境での悪用は確認しておらず、攻撃に使われる可能性は低いと評価している。この脆弱性は端末への物理アクセスが悪用の前提となるため、社外へ持ち出すノートPCなどでは更新の優先度が高い。

 AIを活用した脆弱性検出システム「MDASH」(multi-model agentic scanning harness)の導入で重要なWindowsコンポーネントの解析が進み、今後も更新件数は増加する可能性がある。AdobeやCiscoも更新頻度の増加を公表しており、同様の傾向はほかのベンダーにも広がっている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る