マイクロソフト、7月の月例更新で約570件の脆弱性を修正 ゼロデイ2件にまず対応
MS、7月月例更新で約570件修正 ゼロデイ2件対応

Microsoftは2026年7月14日(現地時間)、「Microsoft Windows」や「Microsoft Office」、「Microsoft SharePoint」、「Active Directory Federation Services」(AD FS)などを対象とした月例セキュリティ更新を公開し、約570件の脆弱性を修正した。今回の更新では、悪用済みのゼロデイ脆弱性2件が含まれており、早急な適用が求められる。

修正された脆弱性の内訳と深刻度

Microsoftは今回の更新で、特権昇格254件、リモートコード実行145件、情報漏えい102件、サービス拒否35件、セキュリティ機能回避17件、スプーフィング16件の脆弱性を修正した。特権昇格は全体の約44%を占め、リモートコード実行は約4分の1を占めた。深刻度が「Critical」と評価されたものは59件だった。

修正対象のうちゼロデイ脆弱性は「CVE-2026-56155」「CVE-2026-56164」「CVE-2026-50661」の3件。このうち2件は実際に悪用が確認されている。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

悪用確認済みのゼロデイ脆弱性:AD FSとSharePoint

実際に悪用が確認されたゼロデイ脆弱性の一つが、AD FSの特権昇格の脆弱性CVE-2026-56155である。アクセス制御の不備により、権限の低いローカルユーザーが管理者権限を取得できる。米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性(KEV)カタログに登録されており、Microsoft Security Update Guideでは悪用が確認済みと説明している。

もう一つの悪用確認済みゼロデイ脆弱性は「Microsoft SharePoint Server」のCVE-2026-56164である。重要な機能に対する認証の欠如により、認証なしにネットワーク経由で特権昇格が可能となる。対象はSharePoint Enterprise Server 2016、Server 2019、Subscription Edition。MicrosoftはAMSIを有効化し、Request Body ScanをFullに設定することを推奨する緩和策として示したが、更新プログラムの適用を置き換えるものではないとしている。この脆弱性もCISAのKEVカタログへ登録された。

BitLockerのセキュリティ機能回避の脆弱性

3件目のゼロデイはWindows BitLockerのセキュリティ機能回避の脆弱性CVE-2026-50661。物理的に端末へアクセスできる攻撃者が暗号化データへアクセスできる可能性がある。Microsoftは、同脆弱性の実環境での悪用は確認しておらず、攻撃に使われる可能性は低いと評価している。この脆弱性は端末への物理アクセスが悪用の前提となるため、社外へ持ち出すノートPCなどでは更新の優先度が高い。

AI活用による脆弱性検出と今後の動向

AIを活用した脆弱性検出システム「MDASH」(multi-model agentic scanning harness)の導入で重要なWindowsコンポーネントの解析が進み、今後も更新件数は増加する可能性がある。AdobeやCiscoも更新頻度の増加を公表しており、同様の傾向は他のベンダーにも広がっている。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ