Microsoft、2026年6月定例パッチで史上最多206件の脆弱性を修正-3件のゼロデイや危険な脆弱性含む(CVE-2026-50507,CVE-2026-45586,CVE-2026-47291,CVE-2026-49160)|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月11日更新日時: 2026年06月11日

2026年6月10日（日本時間）、Microsoftは2026年6月のパッチチューズデーを公開しました。

今回のリリースが注目を集める最大の理由は、修正件数が206件という過去最多の記録を更新しています

Microsoftはこの急増の原因についてAIによる脆弱性発見の加速を名指しで認め、「パンドラの箱はすでに開かれており、より高度なAIモデルが利用可能になるにつれ、この傾向は上昇し続けると予想される」と公式に表明しました

今回のリリースには特に緊急性が高い脆弱性が複数含まれています。最優先すべきはCVE-2026-47291（CVSS 9.8・HTTP.sys RCE）で、Cohesityのセキュリティ研究部門責任者Amol Sarwate氏が「認証不要でリモートから完全侵害を可能にし、潜在的にワーム可能（Wormable）」と警告しています。

また3件の公開済みゼロデイ（技術情報が事前流出・野放しの悪用は現時点で未確認）として、HTTP.sys DoS（CVE-2026-49160）・BitLocker物理バイパス（CVE-2026-50507）・CTFMON特権昇格（CVE-2026-45586）が含まれています。

なお当サイトが2026年6月4日に報じたCalifによるHTTP/2爆弾攻撃に対し、今回CVE-2026-49160としてIIS（HTTP.sys）向けの修正がMicrosoftから提供された点は特筆すべき事実です。本記事では今回のパッチチューズデーの概要・最優先すべき脆弱性・ゼロデイの詳細・即時実施すべき対応を解説します。

サマリー

2026年6月パッチチューズデー（6月10日リリース）：合計206件（Critical 32〜39件・Important 167件）——パッチチューズデー史上最多を記録
3件の公開済みゼロデイ（技術情報が事前流出・現時点で野放しの悪用は未確認）：CVE-2026-45586（CTFMON EoP）・CVE-2026-49160（HTTP.sys DoS）・CVE-2026-50507（BitLocker バイパス）
最優先すべき脆弱性（CVSS 9.8）：CVE-2026-47291（HTTP.sys RCE・ワーム可能）・CVE-2026-44815（DHCPクライアントサービスRCE）
「Exploitation More Likely（悪用可能性が高い）」タグ付き：15件
CVE-2026-49160はHTTP/2爆弾攻撃と関連——Califが発見した手法（IISサーバーが45秒で64GB RAMを枯渇）に対するMicrosoftの修正
CVE-2026-50507は「bitskrieg」として知られるBitLocker完全バイパス（Will Dormann）
CVE-2026-45586は「GreenPlasma」として公開されたCTFMON特権昇格（Chaotic Eclipse）
Microsoft公式：「パンドラの箱はすでに開かれている。より高度なAIが利用可能になるにつれ脆弱性件数の増加傾向は続く」
※Microsoft Edge/Chromiumの360件は別途Google修正済みのため本集計に含まず

1 公開済みゼロデイ3件の詳細
2 最優先すべき脆弱性—CVSS 9.8のワーム可能なRCE
3 その他の注目脆弱性
4 「AIが原因」とMicrosoftが公式に認めた記録的なパッチ数
5 今すぐ実施すべき対応
6 FAQ
7 参考情報

公開済みゼロデイ3件の詳細

3件のゼロデイは「パッチリリース前に技術情報が公開された（publicly disclosed）」ものです。Microsoftは現時点でこれら3件の野放しの悪用を確認していないと述べていますが、3件とも「Exploitation More Likely」に分類されており、早期悪用のリスクは高い状態です。

CVE-2026-49160（CVSS 7.5）——HTTP.sys DoS・HTTP/2爆弾との直接的な関連

Windows HTTP Protocol Stack（HTTP.sys）**の脆弱性で、HTTP/2処理の不具合によりカスタムリクエストを送りつけることでWindows Webサーバーをリモートからクラッシュさせることができます。Action1のPresident Mike Walters氏は「権限もユーザー操作も不要でネットワーク越しにシステムの可用性を影響下に置けるため、悪用可能性の評価はより高い」と説明しています。

この脆弱性は当サイトが2026年6月4日に報じたCalifによるHTTP/2爆弾攻撃と直接関連しています。The Hacker Newsも「CVE-2026-49160はCalifが発見した攻撃手法（HTTP/2 Bomb）に関連しており、IISサーバーは45秒で64GBのRAMを枯渇することが確認されている」と明記しています。Microsoftは今回のパッチで、HTTP/2とHTTP/3リクエストのヘッダー数を制限する新しい「MaxHeadersCount」レジストリ設定を導入しました。

CVE-2026-45586（CVSS 7.8）——Windows CTFMON 特権昇格・GreenPlasmaと関連

Windows Collaborative Translation Framework（CTFMON）のリンクフォローイング脆弱性で、ローカル認証済みの攻撃者がSYSTEM権限への昇格を達成できます。The Hacker Newsはこの脆弱性が「Chaotic Eclipseが『GreenPlasma』として公開したゼロデイ特権昇格エクスプロイトの修正である」と報じています。

CVE-2026-50507（CVSS 6.8）——BitLocker セキュリティ機能バイパス・bitskriegと関連

物理的またはローカルアクセスを持つ攻撃者がWindows BitLockerのフルディスク暗号化保護を完全に回避できる脆弱性です。セキュリティ研究者Will Dormann氏は「この修正は、BitLockerへの完全アクセスを可能にする『bitskrieg』と呼ばれるBitLockerバイパスの修正と評価される」と指摘しています。

なお今回のリリースでは「MiniPlasma」と呼ばれる別の脆弱性も修正されています。これはChaotic Eclipseが2020年12月にMicrosoftが修正したCVE-2020-17103の不完全な修正として公開したものです。Microsoftは「CVE-2020-17103とMiniPlasmaへの包括的な対応として、2026年6月のWindowsアップデートの適用を推奨する」と声明を出しています。

最優先すべき脆弱性—CVSS 9.8のワーム可能なRCE

CVE-2026-47291（CVSS 9.8）——HTTP.sys RCE・ワーム可能

Cohesityのセキュリティ研究部門責任者Amol Sarwate氏が最優先として挙げた脆弱性です。「認証不要でユーザー操作もなしにリモートから完全侵害を可能にするため、潜在的にワーム可能」と警告しています。HTTP.sysはIISや他のWindowsネットワークサービスの下位に位置するコンポーネントのため、インターネットに公開されたWebサーバーを持つ組織は特に早急な対応が必要です。

CVE-2026-44815（CVSS 9.8）——Windows DHCPクライアントサービスRCE

Sarwate氏がCVE-2026-47291と並んで最優先に挙げた脆弱性です。DHCPクライアントサービスはWindowsの標準的なネットワーク設定機能であり、広範囲のWindows環境が影響を受けます。

Azure HorizonDB 最大深刻度脆弱性（CVE-2026-48567）

CyberScoopが「max-severity（最大深刻度）」と報じているAzure HorizonDBの脆弱性です。クラウド環境を運用する組織は即時の確認が必要です。

Nuance PowerScribe RCE（CVE-2026-26142・CVSS 9.8）

医療放射線科向けのシステムに関わるRCE脆弱性です。医療機関は特に優先して適用してください。

その他の注目脆弱性

Microsoft Office スイート（CVE-2026-45461〜CVE-2026-45474・33件のCritical）：ヒープベースのバッファオーバーフローによりRCEが可能。特別に細工されたOfficeドキュメントを開くだけで攻撃者のコードが実行されます。

Microsoft Outlookおよびword：型混乱（Type Confusion）脆弱性：悪意のあるドキュメントを開いた際にバックグラウンドで悪意あるスクリプトが実行される可能性があります。

Windows Hyper-V：境界外読み取り（OOB Read）：仮想化環境からの完全な脱出（ハイパーバイザーエスケープ）を可能にする可能性があります。

リモートデスクトップクライアント：ヒープバッファオーバーフロー複数件：ネットワーク越しに不正なコマンドを実行できます。テレワーク環境を運用する組織は特に注意が必要です。

Windows カーネル：CVE-2026-45657（UAF）：パスワードなしにWindows 11搭載のx64およびARM64デバイスを侵害できる解放済みメモリアクセスの脆弱性。

「AIが原因」とMicrosoftが公式に認めた記録的なパッチ数

今回の206件という記録的なパッチ数について、Dark ReadingはMicrosoftの公式コメントを次のように引用しています：「パンドラの箱はすでに開かれており、より高度なAIモデルが利用可能になるにつれ、この傾向は上昇し続けると予想される」。

先日の当サイト記事（バイブコーディングとシャドーAI）でも取り上げたように、AIが脆弱性発見を劇的に加速させているという事実は、攻防の両面に影響を与えています。OpenSSLのCVE-2026-45447をClaude AIが発見した事例や、HTTP/2爆弾をOpenAI Codexが発見した事例のように、AIが防御側の脆弱性発見を加速する一方で、攻撃側も同様のツールを使えるため、パッチ提供サイクルの重要性は増し続けています。

今すぐ実施すべき対応

最優先（即時・今週中）：

CVE-2026-47291（HTTP.sys CVSS 9.8・ワーム可能）を持つインターネット公開サーバーにパッチ適用
CVE-2026-44815（DHCPクライアント CVSS 9.8）
CVE-2026-49160（HTTP.sys DoS・HTTP/2爆弾関連）の緊急パッチ適用またはMaxHeadersCountレジストリ設定の実施

高優先（今週末まで）：

Microsoft Officeスイートの全アップデート（CVE-2026-45461〜CVE-2026-45474）
Windows Hyper-Vのパッチ（ハイパーバイザーエスケープ対策）
リモートデスクトップクライアントのパッチ（テレワーク環境対応）

重要（2週間以内）：

Windows BitLockerバイパス（CVE-2026-50507）の適用——特に持ち出しPCを持つ組織
CTFMON特権昇格（CVE-2026-45586）の対応
Nuance PowerScribeを使用する医療機関は特急対応

確認事項：

Windowsカーネル・DNS・Active Directoryのすべてのアップデートを確認
Azure環境はAzure HorizonDBのパッチ（CVE-2026-48567）を確認
MiniPlasmaの完全修正のため、2020年12月以降にCVE-2020-17103対応した環境でも6月アップデートを再確認

FAQ

Q. 206件というのは本当に記録的な数字ですか？ A. はい。CyberScoopが「Microsoftがパッチチューズデーの記録を更新した」と報じており、ある情報サイトは「Microsoftは2026年のここまでで2018年1年間より多いCVEを修正した」と指摘しています。Microsoftはこの急増をAIによる脆弱性発見の加速に起因すると公式に認めています。

Q. 3件のゼロデイは「野放しで悪用されている」のですか？ A. いいえ。3件（CVE-2026-45586・CVE-2026-49160・CVE-2026-50507）は「publicly disclosed（技術情報が事前公開）」であって、Microsoftは現時点で野放しの悪用を確認していないと述べています。ただし3件とも「Exploitation More Likely（悪用可能性が高い）」に分類されており、早急なパッチ適用が推奨されます。

Q. CVE-2026-49160はどのようにHTTP/2爆弾攻撃と関連しますか？ A. Calif.io（Thai Duong氏）が2026年6月2日に発表したHTTP/2爆弾攻撃はnginx・Apache・IIS（HTTP.sys）・Envoy・Pingoraに影響し、1台のPCでIISサーバーを45秒で64GB RAM枯渇させることが実証されていました。CVE-2026-49160はMicrosoftがHTTP.sysに対してこの手法に対応した修正を提供したものです。

Q. Windowsのアップデートはどこから適用できますか？ A. Windows Updateから自動的に提供されます。手動確認の場合は「設定」→「Windows Update」→「更新プログラムの確認」から実施してください。企業環境ではWSUS・Microsoft Endpoint Configuration Manager・Intuneを通じた展開を管理者が実施します。詳細はMicrosoft Security Response Center（MSRC）をご参照ください。