エクスプロイト&脆弱性
2026年1月 セキュリティアップデート解説:Microsoft社は115件、Adobe社は25件の脆弱性に対応
2026年最初の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年最初の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年1月Adobe社からのセキュリティアップデート
1月のAdobeは、11件のセキュリティ情報を公開し、合計25件の脆弱性に対応しました。対象となったのは、Adobe Dreamweaver、InDesign、Illustrator、InCopy、Bridge、Substance 3D Modeler、Substance 3D Stager、Substance 3D Painter、Substance 3D Sampler、Substance 3D Designer、そしてColdFusionです。ColdFusion向けのパッチは、リモートコード実行につながる脆弱性を1件修正するものですが、公開優先度は「Priority 1」とされています。ただし、この脆弱性が公に知られている、あるいは実際に悪用されているという情報は現時点ではありません。Dreamweaverの修正では、深刻度「緊急」に分類されたリモートコード実行の脆弱性が5件解消されています。InDesignのアップデートも5件の脆弱性に対応していますが、そのうち4件が「緊急」の評価です。Substance 3D Modelerのパッチでは合計6件の修正が含まれていますが、任意のリモートコード実行に関わるものはそのうち2件にとどまります。
Substance 3D Stagerのパッチは、「緊急」の評価のリモートコード実行関連の脆弱性1件を修正する内容です。同様に、Substance 3D Painter、Adobe Bridge、InCopyでも、それぞれCritical評価のリモートコード実行の脆弱性が1件ずつ修正されています。Substance 3D Samplerのパッチについてはやや不可解な点があります。リリース日は8月と記載されている一方で、本日更新されたとも書かれているためです。対象の脆弱性は2026年のものなので、単なる事務的な記載ミスの可能性も考えられます。Substance 3D Designerのパッチは、深刻度が「重要」のメモリリークを1件修正するものです。最後に、Illustratorの修正では、「緊急」の評価の脆弱性1件と「重要」の評価の脆弱性1件が含まれています。
今月Adobeが修正した脆弱性の中に、公開時点で公知となっているものや、実際に攻撃に悪用されているとされるものはありません。ColdFusionの修正を除き、今月公開されたAdobeのアップデートはすべて展開優先度3と位置づけられています。
2026年1月Microsoft社からのセキュリティアップデート
Microsoftは、新年の幕開けとともに一気に動きました。Windowsおよびその関連コンポーネント、Officeとその構成要素、Azure、Microsoft Edge(Chromiumベース)、SharePoint Server、SQL Server、SMB Server、そしてWindows Management Servicesにわたり、新たに112件の脆弱性を公開しています。
このうち1件はZDIプログラム経由で報告されたものです。本日公開されたパッチの中では、8件が深刻度「緊急」、それ以外は「重要」と評価されています。さらに、今回のリリースに含まれるサードパーティ製Chromiumの更新分も数に含めると、脆弱性の総数は115件に達します。
1月に大規模なリリースが行われるのは、決して珍しいことではありません。年末年始の休暇シーズン中に、万が一パッチが不具合を起こしたり、アプリケーションの互換性に問題を生じさせたりした場合の混乱を避けるため、ベンダーが一部の更新を控えているのではないかと考えています。その結果として、1月にまとめて公開される形になるわけです。実際、昨年は脆弱性の公開数という点でMicrosoftにとって2番目に多い年でした。2026年にそれを上回ることになるのかどうか、今後を見ていきたいところです。
Microsoftは、公開時点で実際に悪用されている脆弱性が1件あるとしています。また、公開前から知られていたものが2件あるとも記載していますが、個人的にはその数は3件ではないかと思っています。それでは今月の更新の中でも特に注目すべきものを、まずは実際に攻撃が確認されている脆弱性から順に見ていきましょう。
CVE-2026-20805 - Desktop Window Manager 情報漏洩の脆弱性
情報漏洩の脆弱性が実際に悪用されるというのは、やや珍しいケースですが、今回はまさにそれが起きています。この脆弱性により、攻撃者はリモートのALPCポートからセクションアドレスを漏洩させることが可能になります。おそらく攻撃者は、そのアドレス情報を次の段階の攻撃チェーンで利用し、最終的には任意のリモートコード実行へとつなげるのでしょう。こうした事例を見ると、メモリリークが単なる付随的な問題ではなく、リモートコード実行の脆弱性と同じくらい重要であることがよく分かります。というのも、メモリ情報が得られることで、RCEの成功率が格段に高まり、より確実に悪用できるようになるからです。いつものことながら、Microsoftはこの脆弱性の悪用がどの程度広がっているのかについては明らかにしていません。ただ、報告元を踏まえると、その範囲は限定的である可能性が高いと考えられます。
CVE-2026-21265 - Secure Boot 証明書有効期限切れによるセキュリティ機能バイパスの脆弱性
実際に悪用される可能性は低いと思われますが、管理者にとっては頭の痛い問題になりかねません。有効期限が切れる証明書を更新しなければ、今後のセキュリティ更新プログラムを受け取れなくなったり、新しいブートローダーを信頼できなくなったりします。このCVEが攻撃に使われる可能性は低いでしょう。しかし、逆にこのCVEが放置され、Secure Bootを利用しているデバイスがパッチを受け取れなくなる可能性は決して低くありません。なお、この脆弱性は「公開情報あり」とされていますが、これは数か月前にMicrosoftが関連情報を公開していた、という意味にすぎません。
CVE-2026-20952/202953 - Microsoft Office リモートコード実行の脆弱性
今月もまた、Officeの脆弱性でPreview Paneを悪用できる経路が見つかりました。現時点では、これらの脆弱性が実際に悪用されたという報告はありませんが、こうしたタイプの問題は着実に増え続けています。攻撃者がこれらを組み合わせ、実際の攻撃に組み込むのは時間の問題とも言えるでしょう。もし懸念がある場合は、Preview Paneを無効化するという追加の対策を取ることも可能です。少なくともそれによって、ユーザ操作なしで悪用されるリスクは防ぐことができます。
CVE-2026-20876 – Windows 仮想化ベースのセキュリティ(VBS)エンクレーブにおける特権昇格の脆弱性
VBSはWindowsにおける比較的新しいセキュリティ機能で、Virtual Trust Level(VTL)が異なる特権レベルとして機能しています。現在、VTL2が最も高い特権レベルとされており、この脆弱性は攻撃者がVTL2まで昇格できることを意味します。Microsoftは、この脆弱性を悪用するためにVTL0やVTL1にいる必要があるのかどうかについては触れていません。記憶の限りでは、VBS内でVTLの昇格が可能となる脆弱性が修正されたのは今回が初めてではないかと思います。Microsoftはこの問題をCVSS 6.7と評価していますが、VTLの境界を越えるという点を考慮すると、これはスコープ変更に該当するのではないかと考えています。その点を踏まえれば、CVSSスコアは8.2、すなわちHighに相当すると見るのが妥当でしょう。
その他の脆弱性
今月リリースされたそのほかの「緊急」評価の脆弱性に目を向けると、いくつか少し首をかしげたくなるExcelの脆弱性が含まれています。最初はPreview Paneが関係しているのかと思いましたが、実際にはそうではありません。そもそも、これらがなぜ「緊急」に分類されているのかもはっきりしないところがあります。Wordの脆弱性については事情が異なり、こちらはPreview Paneが明確な攻撃経路となっています。LSASSの脆弱性はネットワーク越しにリモートコード実行が可能ですが、悪用には認証が必要です。最後の「緊急」評価の脆弱性は、GPUのパラバーチャライゼーションに関わる特権昇格で、ローカルユーザがSYSTEM権限でコードを実行できる可能性があります。どういうわけか、GPU関連の脆弱性については、まだ表面をなぞったに過ぎないのではないかという感覚があります。
リモートコード実行関連
今月のその他のリモートコード実行の脆弱性を見ていくと、WordやExcelでファイルを開いた途端に乗っ取られる、いわゆる“open-and-own”型の脆弱性がいつものように並んでいます。SharePointの脆弱性は認証が必要ですが、ほとんどの認証済みユーザは必要な権限を持っていると考えてよいでしょう。元ZDIアナリストのPiotr Bazydło氏が報告した興味深いSharePointの脆弱性もあります。これは認証を必要としませんが、悪意あるWSDLのインポートやファイルを開くといったユーザ操作が必要です。WSUSの脆弱性は一見すると恐ろしく見えますが、悪用には「マシン・イン・ザ・ミドル(MiTM)」攻撃が前提となります。NTFSの2件の脆弱性は認証が必要です。Azure Coreの脆弱性では、有効なトークンを書き換えて悪意あるものに変える必要があり、そのためには「開発者タイプの認証」が求められるとされていますが、正直その意味するところは曖昧です。
1月分の最後のリモートコード実行の脆弱性は、修正にあたって追加の対応が必要です。MicrosoftはWindows Deployment Servicesのハンズフリー展開機能を削除します。そのため、まずは企業内でハンズフリー展開が設定されているシステムを洗い出し、監査する必要があります。そして、当面の間は保護を有効にする選択を行うことになります。さらに、2026年半ばにこの機能が完全に削除される前に、これらのシステムをハンズフリー以外の方法へ移行する計画も立てなければなりません。
特権昇格関連
今回のリリースの大半を占めているのは特権昇格の脆弱性ですが、その多くはローカル攻撃者がSYSTEM権限や管理者権限でコードを実行できるようになるというものです。また、Low整合性レベルからMedium整合性レベルへ移行し、AppContainerの隔離を突破できる脆弱性もかなりの数にのぼります。これらの多くはWindows Management Servicesに存在します。「Kernel Memory Access」に至るという脆弱性も1件ありますが、具体的に何を意味するのかははっきりしません。別の脆弱性ではVTLレベルの変更が可能になりますが、得られるのはVTL1までです。Windows Admin Center(WAC)の脆弱性は興味深く、特定のテナント内でWACにより管理されているマシンに対してローカル管理者権限を取得できる可能性があります。これにより、他のテナントのアプリケーションやコンテンツとやり取りすることも可能になります。
WalletServiceの脆弱性は、侵害されたユーザの権限にとどまります。File Explorerの脆弱性も同様です。SQL Serverの脆弱性では、攻撃者がデバッグ権限を取得でき、メモリダンプを行うことも可能になります。いつものように、SQL管理者は完全な修正のために追加の手順を踏む必要があります。最後の特権昇格の脆弱性は、実は2024年にさかのぼるものです。Microsoftはこれを公開済みとはしていませんが、個人的にはすでに公開情報とみなしています。というのも、すでに報道記事が出ているからです。この脆弱性はMotorola Soft Modemドライバーに存在し、対応するWindows OSにはデフォルトで含まれています。すでに廃止されたハードウェアであるため、ドライバーを修正するのではなく、Microsoftはドライバーそのものを完全に削除する対応を取っています。
セキュリティ機能のバイパス関連
そのほかにも、セキュリティ機能のバイパスに関する脆弱性がいくつかあります。まずExcelの脆弱性ですが、これはマクロ保護を回避できる可能性があります。ただし、ユーザ操作が必要で、単にファイルを開いただけで侵害されるような「open-and-own」型ではありません。Remote Assistanceの脆弱性では、Mark of the Web(MotW)の保護を回避できてしまいます。
情報漏洩関連
今月は情報漏洩の脆弱性も数多く修正されています。多くは未特定のメモリ内容やメモリアドレスが漏れるというものですが、いくつか例外もあります。CamSvcの脆弱性では、例によって「機微な情報」が漏洩するとされています。別のCamSvcの脆弱性では、Capability Access Managerサービスのメモリが開示されます。さらに、VTL0にいる攻撃者がVTL1のデータを閲覧できるという脆弱性もあり、これも記憶にある限り初めてのケースです。Windows File Explorerにも複数の脆弱性があり、サンドボックス外のアドレスを漏洩させる可能性があります。これはサンドボックスエスケープを狙う攻撃者にとっては有用でしょう。Kerberosの脆弱性は一見すると地味に見えますが、パッチ適用後に追加の対応が必要になります。
TPMの脆弱性では、「影響を受けるアプリケーションのユーザに属する秘密情報や特権情報」が漏洩するとされています。Dynamic Root of Trust for Measurement(DRTM)コンポーネントの脆弱性では、暗号関連の秘密情報が開示されます。Hyper-Vの脆弱性は非常に興味深く、ゲストVMからHyper-Vホストサーバへデータを漏洩させることができ、仮想化のセキュリティ境界を越えてしまいます。最後に、SharePointの情報漏洩は、攻撃者の代わりにSharePointが行う外向きリクエストの結果データを露出させる可能性があります。まるで攻撃者が影響を受けたシステムを使って偵察を行っているかのような挙動です。
なりすまし関連
1月のリリースには、なりすましに関する修正が5件含まれていますが、説明の一部はかなり分かりにくいものです。SharePointの脆弱性はクロスサイトスクリプティング(XSS)といってよいでしょう。2件の脆弱性は、単にネットワーク越しになりすましが可能になるとだけ記載されています。NTLMハッシュ漏洩の脆弱性については、少なくともユーザ操作が必要であることが明示されています。
改ざん関連
説明が曖昧という点で言えば、「改ざん」という影響が付された脆弱性が3件あります。うち2件はWindows Helloに関するもので、「認可されていない攻撃者がローカルで改ざんを行える」とだけ書かれています。おそらくHelloの仕組みを悪用して認証を回避できるという意味でしょうが、そこまでは明示されていません。同様に、LDAPの脆弱性もネットワーク越しに改ざんが可能になるとしか説明されていません。
サービス拒否(DoS攻撃)関連
最後に、SMBとLSASSにそれぞれサービス拒否の脆弱性が1件ずつあります。ただし、Microsoftはこれらについてほとんど詳細を示しておらず、ネットワーク越しにサービスを停止させることが可能になるという程度の説明にとどまっています。少なくともSMBの脆弱性については、悪用に認証が必要であることが記載されています。
今月は新たなアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2026年2月10日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2026年1月発表の全リスト
2026年1月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The January 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)