サイバーセキュリティ

MicrosoftがWindowsの570件のセキュリティ脆弱性をで1か月で修正。大半をAIが発見した

Adrian Kessler

Microsoftがこれまでにリリースした中で最大のセキュリティ更新プログラムは、同時に最も異例なものでもある。その規模を大きくした要因が、攻撃者に先んじるために防御側が使うべきツールそのものだからだ。今月のPatch Tuesdayでは、Windowsおよび関連製品で570件のセキュリティ脆弱性が修正された。これは従来の月次リリースを大幅に上回る数字である。Microsoftはこの急増の原因を、2025年初頭からコードベースをスキャンしてきたAIによる脆弱性発見ツールに帰している。

そのスキャンがもたらした実務的な影響は急速に積み上がっている。2026年の最初の7カ月間で、Microsoftは1,308件の脆弱性にパッチを適用した。これは前年同期の約650件のほぼ2倍にあたる。Microsoftのエンジニアリング担当バイスプレジデントであるTom Gallagherは5月、AIツールが問題を発見し続ける中で、顧客はより大規模な月次更新を想定すべきだと警告していた。7月の数字はその予測を裏付ける結果となった。

570件の脆弱性すべてが同じリスクを抱えているわけではないが、そのうち3件はゼロデイ、すなわちパッチが存在する前に既に知られていたバグである。この3件のうち2件は、すでに攻撃者によって悪用されている。CVE-2026-56164はSharePoint Serverの特権昇格の欠陥であり、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はMicrosoftのパッチが公開される前に、この脆弱性が活発に悪用されていると警告していた。CVE-2026-56155はActive Directoryフェデレーションサービスにおける同様の特権昇格である。3件目のゼロデイは公開されているものの、まだ積極的な悪用は確認されていない。

570件の脆弱性のうち26件は、10段階の深刻度スケールでCVSS基本スコアが9.0を超えており、そのうち13件は9.8に達している。特に注目すべきものとして、CVE-2026-48561はMicrosoft Copilotにおけるリモートコード実行の欠陥で、スコアは9.6である。これは、リモートの攻撃者がユーザーの操作なしに影響を受けるシステム上で任意のコードを実行する可能性があることを意味する。Microsoftは悪用可能性を「より高い」と説明している。

AIによる発見の話にはただし書きがある。バグをより速く見つけることは、それをより速く、あるいはより安全に修正することを意味しない。この規模の月次更新にはそれ自体リスクが伴う。パッケージが大きければ、より多くのテスト時間が必要となり、互換性の後退が発生する可能性が高まり、エンタープライズ環境全体に展開するためにより多くのITリソースが必要となる。予測可能な月次サイクルに合わせてパッチの展開を自動化していた組織は、現在、かなり重い負荷を抱えている。

MicrosoftのWindows部門のリーダーシップは、この傾向が今後も続く見込みであることを示唆している。AIスキャンツールが向上し、コードベースの古い層に適用されるにつれて、新たに発見されるレガシー脆弱性の数は、当面は高い水準にとどまると見られている。2026年の更新履歴を見ると、Microsoft自身もこれを予見していたことがうかがえる。同社はパッチ件数の急増が表面化する以前の2024年後半から、AIによるコードレビューを徐々に拡大してきた。

2026年7月のパッチはWindows Updateから入手可能である。エンタープライズ環境向けには、Microsoftは現在悪用されている2件のゼロデイとCopilotのRCEを最も緊急度の高い修正として優先している。SharePointまたはADフェデレーションサービスのパッチ未適用のデプロイメントを運用している組織は、標準的なパッチサイクルのスケジュールにかかわらず、これらを優先度1の更新として扱うべきである。

タグ: , , , , ,

ディスカッション

0件のコメントがあります。