関連記事
マイクロソフト、過去最多622件の脆弱性修正―AIによる脆弱性検出の本格化で「大量パッチ」が常態化へ

Photo by FlyD on Unsplash[写真拡大]
マイクロソフトは2026年7月のパッチチューズデー(米国時間7月14日、日本時間7月15日)において、同社史上最大規模となる622件のCVE(共通脆弱性識別子)に対するセキュリティ更新プログラムを公開した。この中には、すでに実際の攻撃で悪用されているSharePoint ServerとActive Directoryフェデレーションサービス(AD FS)のゼロデイ脆弱性が含まれており、セキュリティ担当者には即時の対応が求められている。また、今回の記録的な修正件数は一時的な急増ではなく、AIを活用した脆弱性検出プロセスの導入による「新たな常態(ベースライン)」であると指摘されている。
■猶予のないSharePoint Serverのパッチ適用:認証不要のネットワーク攻撃が進行中
CVE-2026-56164は、オンプレミス版のSharePoint Server(SharePoint Server 2016、2019、およびSubscription Edition)に存在する、認証欠如の脆弱性(CWE-306)である。攻撃者は認証情報を必要とせず、ユーザーの操作も介さずに、ネットワーク経由でリモートから権限を昇格させることができる。
マイクロソフトはこの脆弱性のCVSSスコアを5.3(警告)と評価したが、この評価は業界内で一貫して批判を浴びている。米国の国立脆弱性データベース(NVD)は独自にこれを9.8(緊急)と評価した。セキュリティ企業Automoxの分析では、「警告レベルの深刻度と、実際に悪用されているという事実は別物である。5.3という数値に惑わされて優先順位を下げるべきではない」と指摘されている。これは、CVSSが評価時点の深刻度のみを測定し、後に実際の悪用が確認されてもスコアが遡及的に調整されないという既知の限界によるものである。
米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)の勧告によると、攻撃者はCVE-2026-56164を過去に公開された古いSharePointの脆弱性と組み合わせることで、IIS(インターネット情報サービス)のマシンキーを窃取し、侵害したサーバーに永続的にアクセスしてマルウェアを展開している。これは、2025年7月に中国の国家支援型ハッカー集団「Linen Typhoon」や「Violet Typhoon」、ランサムウェア攻撃グループ「Storm-2603」が金融、医療、政府、エネルギー分野でSharePointを大規模に悪用した「ToolShell」キャンペーンと同様の手口である。CISAはパッチ公開と同日の7月14日にこの脆弱性を「悪用が確認された脆弱性(KEV)」カタログに追加し、連邦政府機関に対して7月17日(日本時間7月18日)までの修正を義務付けた。
この脆弱性は、MandiantやGoogleのFLAREチームなどのインシデント対応者によって発見された。これは、研究環境ではなく実際の攻撃対応中に発見されたことを示している。CISAは、即座にパッチを適用できない組織向けの暫定的な回避策として、SharePointサーバー上でAMSI(Antimalware Scan Interface)を「Full Mode」で有効にすることを推奨している。これにより、SharePointが処理する前にPOSTリクエストのボディがスキャンされ、悪意のあるペイロードを途中で遮断できる。
さらに、サポート終了(EOL)の要因も重なっている。SharePoint Server 2016および2019は、このパッチがリリースされたまさにその日である2026年7月14日をもって延長サポートが終了した。今後、これらのバージョンに新たなセキュリティアップデートは提供されない。すぐにSharePoint Server Subscription Editionに移行できない組織は、該当サーバーをインターネットから直接アクセスできないように隔離し、厳格なファイアウォールルールを適用して、移行までの期間を厳戒態勢で過ごす必要がある。
■AD FSの「ローカル」権限昇格がリモート脅威と同等に扱われるべき理由
CVE-2026-56155は、Active Directoryフェデレーションサービス(AD FS)における権限昇格の脆弱性(CVSS 7.8)である。マイクロソフトの公式説明にある「認可された攻撃者がローカルで権限を昇格させる」という表現は誤解を招く恐れがある。AD FSは単なるファイルサーバーやエンドポイントではない。クラウドサービスやSaaS、オンプレミスアプリケーションなど、連携するすべてのシステムが信頼する認証トークンを発行・署名する極めて重要なサービスである。攻撃者がAD FSホストの管理者権限を取得すると、トークンを偽造して、連携するすべてのサービスであらゆるユーザーになりすますことが可能になり、それ以上の認証ステップも不要になる。
この脆弱性は、実際のサイバー攻撃が発生した際に招集されるマイクロソフトのインシデント対応部門「DART(Detection and Response Team)」によって発見された。これは、実際の侵入調査中にこの脆弱性が悪用されているのを確認したことを意味する。CISAは7月14日にこの脆弱性もKEVカタログに追加し、連邦政府機関に対して7月28日(日本時間7月29日)までの修正を義務付けた。
脆弱性情報公開コミュニティのZDI(Zero Day Initiative)は、CVE-2026-56155とリモートコード実行(RCE)の脆弱性が組み合わさることで、ランサムウェアの配信チェーンが形成される危険性を指摘している。ネットワーク上のシステムでコード実行権限を得た攻撃者が、アクセス制御の不備を利用してAD FSホストに侵入し、管理者権限に昇格して組織全体のトークンを偽造するというシナリオだ。その影響範囲はAD FSサーバー単体にとどまらず、組織全体に及ぶ。
■BitLockerバイパス(CVE-2026-50661):実在するリスクだが優先順位は下位
3つ目のゼロデイ脆弱性であるCVE-2026-50661は、Windows BitLockerの保護機能をバイパスし、デバイスへの物理的なアクセスを持つ権限のない人物が暗号化されたデータにアクセスできてしまうものである。マイクロソフトは実際の悪用を確認していない。TenableのシニアスタッフリサーチエンジニアであるSatnam Narang氏は、この公開が「Nightmare Eclipse」または「Chaotic-Eclipse」として知られる研究者に関連している可能性を示唆しているが、公式な帰属は明らかにされていない。
この脆弱性は「物理的なアクセス」が必要という大きな制約があるため、企業におけるパッチ適用の優先順位としては、前述の2つのアイデンティティインフラに関する脆弱性よりも低くなる。ただし、盗難や紛失によるデータ漏洩対策としてBitLockerに依存しているノートPCや共有ワークステーション、物理的セキュリティリスクの高い環境にあるデバイスについては、迅速な対応が必要である。
■622件のCVEの中で他に注目すべき脆弱性
3つのゼロデイ脆弱性以外にも、今回のリリースには通常よりも高い注意を払うべき脆弱性が複数含まれている。
CVE-2026-55040(SharePoint JWT認証バイパス):Rapid7 Labsがハッキングコンテスト「Pwn2Own Berlin」で公開した。Rapid7は、この脆弱性を未修正のリモートコード実行(RCE)の脆弱性と組み合わせることで、認証なしでサーバーを完全に乗っ取る実証に成功した。RCE側の修正は今回のパッチに含まれず、8月に予定されているが、今回のJWTバイパスのパッチを適用することで、攻撃チェーンを事前に断ち切ることができる。
CVE-2026-57092(Windows VMSwitch、CVSS 9.9):今回のリリースで最も高いスコア。また、SharePointの2つの脆弱性(CVE-2026-50522、CVE-2026-58644)もスコア9.8であり、どちらも信頼できないデータのデシリアライズを通じて、認証やユーザー操作なしで攻撃が可能である。
CVE-2026-50518およびCVE-2026-56159(Windows DHCPサーバー、CVSS 9.8):悪意のあるDHCPパケットを介して実行可能なバッファオーバーフローの脆弱性。DHCPインフラはインターネットに直接公開されていないためパッチ適用が後回しにされがちだが、すべてのネットワークデバイスからのトラフィックを処理するため注意が必要である。
CVE-2026-56188(Windowsサーバーネットワークドライバー、CVSS 9.8):ネットワークトラフィックを介した、認証不要のリモートコード実行脆弱性。
CVE-2026-55008(Exchange Server / OWA、CVSS 9.6):Outlook Web Accessにおけるクロスサイトスクリプティング(XSS)の脆弱性。分類上は「なりすまし」となっているが、認証されたOWAセッション内でJavaScriptを永続的に実行できるため、ZDIは「蓄積型XSS」として扱うことを推奨している。
CVE-2026-56190(リモートデスクトッププロトコル):RDPスタックにおけるRCE脆弱性。インターネットに公開されたRDPサーバーは常に標的となり、ランサムウェアの侵入経路として頻繁に悪用されている。
■Kerberos RC4の廃止:警告なしで認証エラーを引き起こす「後戻りできない」変更
CVEリストとは別に、7月の累積更新プログラムには、セキュリティ警告を一切出さずに企業環境全体で認証エラーを引き起こす可能性のある仕様変更が含まれている。それは、Kerberos RC4ロールバックレジストリキーの完全な削除である。
この変更の背景にあるのは、CVE-2026-20833という情報漏洩の脆弱性である。これにより、RC4で暗号化されたKerberosサービスチケットが、「Kerberoasting」と呼ばれる手法を用いてオフラインでの総当たり攻撃に対して脆弱になる。認証されたドメインユーザーであれば誰でも、任意のサービスプリンシパル名(SPN)のアカウントに対してサービスチケットを要求できる。そのチケットがRC4で暗号化されている場合、攻撃者は検知されることなくチケットを奪取し、市販のGPUを用いてオフラインでパスワードを解析できてしまう。AESで暗号化されたチケットではこのような解析は不可能である。
マイクロソフトは、以下の3段階でRC4の無効化を進めてきた。
1. 2026年1月:監査モードを導入し、ドメインコントローラー(DC)のシステムログにイベントID 201〜209を記録して、RC4に依存する認証を特定できるようにした。
2. 2026年4月:暗号化タイプが未設定のアカウントに対し、キー配布センター(KDC)のデフォルトをAESのみに移行した。これにより、AESキーを持たないサービスアカウントで認証エラーが発生し始めた。
3. 2026年7月14日:レジストリキー「RC4DefaultDisablementPhase」が完全に削除された。ドメインコントローラーはこのキーを参照しなくなり、RC4へのロールバック手段は完全に失われた。
これにより、RC4専用のキー(属性「msDS-SupportedEncryptionTypes」が空、または値が「4」に設定されているもの)を持つサービスアカウントは、イベントID 4769、エラーコード「0x19 (KDC_ERR_ETYPE_NOSUPP)」で認証に失敗するようになる。具体的には、SQL Serverのリンクサーバーの接続エラー、Windows認証下のアプリケーションプール認証の切断、WMIやPowerShellのリモート処理エラー、krb5.iniで「rc4-hmac」が指定されたJavaアプリケーションの動作停止などが発生する。
対応手順としては、まずDCのセキュリティイベントログで、チケット暗号化タイプ「0x17 (RC4)」を伴うイベントID 4768および4769を監査し、該当するサービスアカウントのパスワードをリセットしてAESキーを自動生成させた上で、7月の更新プログラムを適用する必要がある。監査と対策を行わずにパッチを適用すると、深夜に突然認証システムが停止する事態を招く。この変更はアップデート適用後に元に戻すことはできない。
■なぜパッチの大量化は止まらないのか:AI支援による脆弱性検出がもたらした変革
今回のリリースから5日前、Windowsおよびデバイス部門担当エグゼクティブバイスプレジデントのPavan Davuluri氏は顧客に対し、パッチの件数が今後も恒久的に高水準で推移することを予期するよう直接伝えた。その背景にあるのが、マイクロソフトの自律コードセキュリティチームが開発し、本番環境に導入したマルチモデル・エージェント型スキャンハーネス「MDASH(Microsoft Security multi-model agentic scanning harness)」である。
MDASHは3段階のパイプラインで動作する。まず100以上の専門AIエージェントがコードベースの攻撃対象領域(アタックサーフェス)モデルを構築し、次に専門の監査エージェントが検出された脆弱性の悪用可能性について議論を交わす。最後に、実証パイプラインが概念実証(PoC)トリガーを構築して誤検知を排除した上で、開発チームに情報を渡す。このシステムは、2026年5月の稼働開始時に公開ベンチマーク「CyberGym」で88.45%のスコアを記録し、その3週間後の「Build 2026」カンファレンス時点では96.55%に達した。5月だけで、Windowsのネットワークおよび認証コンポーネントにおいて、4つの深刻なRCEを含む16件の未知の脆弱性を自律的に検出している。
マイクロソフトは、7月の622件のCVEのうちMDASHが検出した具体的な件数を公表していない。アナリストらは、コードレビュー対象の拡大、製品範囲の広がり、協調的な脆弱性公開、そしてこれまでの修正バックログの累積なども記録的な件数の要因であると指摘している。しかし、MDASHが24時間3重体制で稼働する本番グレードのスキャナーであるという事実は変わらない。AIの検出速度は、人間が対応できるペースを遥かに超えている。今回の大量リリースは一時的なものではなく、AI支援による脆弱性検出が本格化した未来のプレビューなのだ。
Keeper SecurityのCISO(最高情報セキュリティ責任者)であるShane Barney氏は、「これまでの月次パッチ管理プロセスは、リスクベースの優先順位付けを前提にしなければ、毎月何百件もの修正を迅速に処理することはできない」と警鐘を鳴らしている。毎月100〜200件程度のCVEを想定していた従来のパッチ適用SLA(サービス品質保証)は、構造的な見直しを迫られている。
■組織が今すぐ行うべき対策
最優先で実施すべきアクションは以下の通りである。
1. すべてのオンプレミスSharePointインスタンスにCVE-2026-56164のパッチを適用する(インターネットに直接公開されているものを最優先)。パッチ適用の有無にかかわらず、すべてのSharePointサーバーでAMSIを「Full Mode」で即座に有効化する。
2. AD FSサーバーにCVE-2026-56155のパッチを適用する。DARTが実際の侵入調査中に発見したこと、およびトークン偽造による影響範囲の広さを考慮し、SharePointと同等の緊急度で対処する。
3. すぐに移行できないSharePoint Server 2016または2019を運用している組織は、該当サーバーをインターネットから隔離し、ファイアウォールで保護した上で、移行計画を最優先課題として即座に開始する。
4. Active Directory環境に7月の累積更新プログラムを適用する前に、ドメインコントローラーでRC4の監査を実行する(イベントID 4768および4769で暗号化タイプ0x17を確認)。検出されたサービスアカウントのパスワードをリセットしてAESキーを生成した後に、アップデートを適用する。
5. 自社が米国の連邦政府機関でなくても、CISAが設定した期限を重要な指標として捉える。CISAのKEVカタログ登録基準は「理論上のリスク」ではなく「現実世界での悪用」である。今回の2つの脆弱性はどちらもその基準に合致している。
■注目ポイントQ&A
●マイクロソフトの評価が「5.3(警告)」であるにもかかわらず、CVE-2026-56164が危険とされるのはなぜですか?
CVSSスコアは標準的な条件下での理論上の深刻度を示すものであり、後に実際の悪用が確認されても自動的には更新されません。CVE-2026-56164は認証不要、ユーザー操作不要で、リモートからネットワーク経由で悪用可能であり、すでに実際の攻撃で使用されています。そのため、米国のNVDは独自に「9.8(緊急)」と評価しています。実際の悪用状況を優先してパッチを適用すべきです。
●2026年7月14日以降もSharePoint Server 2016または2019を使い続けるとどうなりますか?
両バージョンは2026年7月14日をもって延長サポートが終了しました。今回の7月のセキュリティ更新プログラムが、これらのバージョンに提供される最後のパッチとなります。今後新たな脆弱性が発見されても修正パッチは提供されないため、ネットワークから隔離しない限り、非常に高いセキュリティリスクに晒され続けることになります。
●KerberosのRC4廃止によって、なぜシステム障害が発生する可能性があるのですか?
RC4は古い暗号化アルゴリズムであり、これを用いたKerberosチケットは「Kerberoasting」と呼ばれるオフラインのパスワード解析攻撃に対して脆弱です。7月のアップデートにより、RC4へのロールバックを可能にしていたレジストリキーが完全に削除されます。これにより、AES暗号化キーが生成されていない古いサービスアカウント(パスワードが長期間リセットされていないアカウントなど)は、アップデート適用後に突然認証に失敗し、関連するシステムやアプリケーションが動作を停止する可能性があります。
●マイクロソフトのAI脆弱性スキャナーの導入は、今後のパッチ管理にどう影響しますか?
AIを活用した脆弱性検出システム「MDASH」の導入により、脆弱性の検出ペースは人間の手作業を遥かに超える速度で進んでいます。今回の622件という記録的な修正件数は一時的なものではなく、今後の新たな基準となります。セキュリティ担当者は、単に件数をこなすのではなく、実際の悪用状況やインフラの重要度に基づいた「リスクベースの優先順位付け」を前提とした運用体制へ移行する必要があります。
元記事: Microsoft Patches 622 CVEs: Active SharePoint and AD FS Zero-Days Demand First Action
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

