Microsoft、2026年7月定例パッチで史上最多569件の脆弱性を修正-AD FSとSharePointの2件がゼロデイ攻撃で悪用済み(CVE-2026-56155, CVE-2026-56164)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、2026年7月定例パッチで史上最多569件の脆弱性を修正-AD FSとSharePointの2件がゼロデイ攻撃で悪用済み(CVE-2026-56155, CVE-2026-56164)

Microsoftは2026年7月14日(米国時間)、月例のセキュリティ更新プログラム(Patch Tuesday)を公開しました。今回の修正件数は569件(Critical 56件・Important 510件・Moderate 3件)にのぼり、当サイトが6月に史上最多として報じた206件を大幅に更新する、過去最大規模のリリースとなりました。このうち2件は、パッチ公開前から実際の攻撃で悪用されていたゼロデイ脆弱性です。

サマリー

  • Microsoftは2026年7月14日(米国時間)、月例のセキュリティ更新プログラムを公開した。修正件数は569件で、深刻度の内訳はCritical(緊急)56件、Important(重要)510件、Moderate(警告)3件。当サイトが2026年6月に「史上最多」として報じた206件から、さらに大幅に件数が積み上がる結果となった
  • パッチ公開前から実際の攻撃で悪用されていたゼロデイ脆弱性は2件。CVE-2026-56155(Active Directory フェデレーション サービスの特権の昇格、CVSS 7.8)と、CVE-2026-56164(SharePoint Server の特権の昇格、CVSS 5.3)で、いずれもMicrosoft公式ブログが「更新プログラム公開前からの悪用を確認」と明記している
  • このほか、パッチ公開前に技術情報が公開されていた(ただし悪用は未確認の)脆弱性としてCVE-2026-50661(BitLockerのセキュリティ機能バイパス、物理アクセスが必要)がある
  • Windowsコンポーネントだけで約416件、Officeスイートで約164件、Microsoft Edgeで約46件の脆弱性が修正されている。脆弱性の種別では権限昇格(EoP)が全体の43.8%、リモートコード実行(RCE)が25.1%を占める
  • 2026年7月の更新プログラム適用により、CVE-2026-20833(Windows Kerberosの情報漏えい)への対処として、レジストリサブキー「RC4DefaultDisablementPhase」のサポートが削除される、いわゆるEnforcementフェーズが適用される
  • Microsoft Exchange Serverの更新プログラムについては、別途Exchangeチームのブログ記事で詳細が案内されている
  • 今回の記録的な件数の背景には、当サイトで以前紹介した、Microsoftが2026年5月から本格運用しているAIエージェントシステム「MDASH(Multi-model Agentic Scanning Harness)」による脆弱性発見の加速があるとみられる
項目 内容
公開日 2026年7月14日(米国時間)
総修正件数 569件(過去最多)
深刻度内訳 Critical 56件、Important 510件、Moderate 3件
ゼロデイ(悪用確認済み) CVE-2026-56155(AD FS)、CVE-2026-56164(SharePoint Server)
ゼロデイ(公開済み・悪用未確認) CVE-2026-50661(BitLocker)
製品別内訳 Windows約416件、Office約164件、Edge約46件
脆弱性種別の割合 権限昇格(EoP)43.8%、リモートコード実行(RCE)25.1%
主な仕様変更 CVE-2026-20833に伴うKerberos RC4のEnforcementフェーズ適用
前月(6月)との比較 6月の206件(当時史上最多)からさらに大幅増

何が起きたか-過去最大規模の月例パッチ

Microsoftの発表によれば、2026年7月14日(米国時間)に公開された月例セキュリティ更新プログラムでは、Microsoft製品に影響する569件の脆弱性が修正されています。深刻度別の内訳はCritical(緊急)56件、Important(重要)510件、Moderate(警告)3件で、Low(注意)に分類されるものはありませんでした。当サイトが2026年6月に「史上最多」として報じた206件は、この時点でパッチチューズデー史上最多の記録でしたが、今回のリリースはこれを大幅に上回り、過去最大規模の更新となっています。

対象製品別に見ると、Windowsコンポーネントだけで約416件、Office製品群で約164件、Microsoft Edgeで約46件の脆弱性が修正されています。脆弱性の種別では、権限昇格(Elevation of Privilege、EoP)が全体の43.8%を占めて最多となり、リモートコード実行(RCE)が25.1%でこれに続いています。.NET、Active Directory Certificate Services、Active Directory Domain Services、Active Directory Federation Services、Azure Active Directory、Azure CycleCloud等、対象コンポーネントは非常に広範囲に及んでいます。

実際に悪用されていた2件のゼロデイ

今回のリリースで最も優先度が高いのは、パッチ公開前から実際の攻撃で悪用が確認されている2件のゼロデイ脆弱性です。

1件目のCVE-2026-56155は、Active Directory フェデレーション サービス(AD FS)における特権の昇格の脆弱性です。

CVSSスコアは7.8で「重要」に分類されていますが、実際の攻撃での悪用が確認されています。原因はAD FSにおけるアクセス制御の粒度が不十分な点にあり、認可された攻撃者がローカルで管理者権限まで昇格できてしまいます。この脆弱性は、Microsoftのインシデント対応部門であるMicrosoft Detection and Response Team(DART)の研究者(Jeremy Kingston氏、Scott Clark氏)によって発見されたとクレジットされており、実際の攻撃を調査する過程で発見された可能性を示唆しています。どのように悪用されたかについての詳細は公表されていません。AD FSはハイブリッドなAzure AD/オンプレミス環境における認証の信頼基盤を担うコンポーネントであるため、この脆弱性を突かれると、より広範なID基盤の侵害へとつながるリスクがあります。

2件目のCVE-2026-56164は、Microsoft SharePoint Serverにおける特権の昇格の脆弱性です。

CVSSスコアは5.3で「警告」レベルの評価にとどまっていますが、こちらも実際の攻撃での悪用が確認されています。

対象はSharePoint Server 2019、SharePoint Server Subscription Edition、SharePoint Server 2016、SharePoint Enterprise Server 2016です。原因は重要な機能に対する認証の欠落とされており、未認証の攻撃者がネットワーク経由でなりすまし攻撃を実行できます。Microsoftは、Antimalware Scan Interface(AMSI)の統合機能が、悪意あるPOSTリクエストを検知することでこの脆弱性への緩和策となりうると説明しています。深刻度評価は「警告」にとどまるものの、SharePointの権限昇格系脆弱性は過去にもリモートコード実行の脆弱性と組み合わせて連鎖的に悪用され、サーバーの完全掌握につながった事例があるため、評価ラベルの数字だけで優先度を判断せず、オンプレミスのSharePoint環境を抱える組織は優先的な対応が推奨されます。

その他の注目すべき脆弱性

パッチ公開前に技術情報が公開されていた脆弱性としては、CVE-2026-50661(BitLockerのセキュリティ機能バイパス)があります。この脆弱性は物理的にデバイスへアクセスできる攻撃者による悪用が想定されるもので、本稿執筆時点で実際の悪用は確認されていませんが、公開情報をもとにした攻撃コードが作成されるリスクがあるため、社外に持ち出されるノートPCやモバイル端末を保有する組織は注意が必要です。

このほか、セキュリティ研究者の分析では、Windows VMSwitchの脆弱性(CVSS 9.9、Hyper-Vのゲストからホストへのエスケープにつながりうる)、SharePointの未認証RCE脆弱性(CVSS 9.8)、ワーム可能とされるネットワークドライバーの脆弱性(CVSS 9.8)、Windows DHCP Serverの脆弱性(CVSS 9.8)、リモートデスクトップの脆弱性(CVSS 9.8)、Windows Print Spoolerの緊急脆弱性等、CVSSスコアが9.8以上かつインターネットに公開されうるコンポーネントに関わる脆弱性が複数含まれており、優先的な対応が推奨されています。

Kerberos RC4のEnforcementフェーズ適用とExchange Server更新

Microsoftはあわせて、2026年7月の更新プログラムの適用により、CVE-2026-20833(Windows Kerberosの情報漏えいの脆弱性)への対処の一環として、レジストリサブキー「RC4DefaultDisablementPhase」のサポートが削除される、いわゆるEnforcementフェーズが適用されると案内しています。このレジストリキーを用いてRC4の無効化を制御してきた環境では、今回の更新後にサービスアカウントのチケット発行における挙動が変わる可能性があるため、事前の確認が推奨されます。また、Microsoft Exchange Serverの更新プログラムについては、月例パッチとは別にExchangeチームのブログ記事で詳細が案内されており、Exchange Serverを展開している組織はあわせて確認する必要があります。

記録的な件数増加の背景-AIによる脆弱性発見の加速

当サイトで以前紹介した通り、Microsoftは2026年5月のPatch Tuesdayにあわせて、AIエージェントシステム「MDASH(Multi-model Agentic Scanning Harness)」を用いた自律的な脆弱性発見の取り組みを公式に発表しています。この際、Microsoft Security Response CenterのVPを務めるTom Gallagher氏は、MicrosoftのエンジニアとセキュリティコミュニティがますますAIを活用し、数年前には現実的でなかったほど注意深くかつ頻繁にソフトウェアを検査するようになっていると述べ、パッチリリースの規模が今後も拡大し続けると予測していました。今回の569件という過去最大規模のリリースは、この予測を裏付ける形となっています。英国のNCSC(国家サイバーセキュリティセンター)も、AI支援の脆弱性発見によって緊急ソフトウェアアップデートが今後さらに急増することへの備えを組織に呼びかけており、防御側のパッチ運用能力そのものが、今後のセキュリティ対策における重要な課題になりつつあります。

情報システム部門への示唆

今回のように月間の修正件数が500件を超える規模になると、すべての脆弱性に同じ優先度で対応することは現実的ではありません。まずは実際に悪用が確認されている2件のゼロデイ(CVE-2026-56155、CVE-2026-56164)を最優先とし、AD FSまたはオンプレミスのSharePoint Serverを運用している組織は直ちにパッチを適用してください。あわせて、これらのコンポーネントに対し、悪用の兆候(不審な管理者権限昇格、不自然なPOSTリクエスト等)がすでに存在しないか、ログを遡って確認することも推奨されます。

その他の脆弱性については、CVSSスコアが9.8以上かつインターネットに公開されている、または業務上重要な認証・ネットワーク・コラボレーション基盤に関わるコンポーネントを優先的に処理し、残りは通常のパッチサイクルに組み込んでいく形が現実的です。今回のようなAIによる脆弱性発見の加速が今後も続くことを前提に、パッチ適用プロセスの自動化や、優先順位付けのルールをあらかじめ整備しておくことが、今後の月例パッチ対応の負荷を抑えるうえで重要になります。

出典