エクスプロイト&脆弱性
2026年6月 セキュリティアップデート解説:Microsoft社は123件、Adobe社は208件の脆弱性に対応
Pwn2Own Berlinを終え、Patch Tuesdayのために戻ってきました。MicrosoftとAdobeは期待を裏切らず、過去最大規模のPatch Tuesdayリリースで「歓迎」してくれたようです。それでは、AdobeとMicrosoftの最新のセキュリティパッチを見ていきましょう。
Pwn2Own Berlinを終え、Patch Tuesdayのために戻ってきました。MicrosoftとAdobeは期待を裏切らず、過去最大規模のPatch Tuesdayリリースで「歓迎」してくれたようです。それでは、AdobeとMicrosoftの最新のセキュリティパッチを見ていきましょう。今回のリリース全体を解説した動画版をご覧になりたい方は、こちらからご確認いただけます。
2026年6月Adobe社からのセキュリティアップデート
6月には、Adobe Acrobat Reader、ColdFusion、Experience Manager、Experience Manager Forms、InDesign、InCopy、Substance 3D Sampler、Content Credentials SDK、Dreamweaver、Format Plugins、Adobe Campaign Classicを対象に、123件の脆弱性(CVE)に対処する11個の速報がリリースされました。このうち11件のCVEがZDIプログラムを通じて報告されたものです。
今月の概要表はこちらのとおりです。
Campaign Classicをご利用の場合、当然ながらこのアップデートを配布リストの最優先に位置付けるべきです。CVSS 10は珍しく、同一速報内に2件というのはほとんど前代未聞です。Adobeは現時点で実際の攻撃は確認されていないとしていますが、攻撃手法の開発に向けた活発な研究が予想されます。ColdFusionのアップデートも優先度1ですが、こちらも実際の攻撃は確認されていません。悪意のあるPDFはランサムウェア攻撃で多用されるため、Readerのパッチも大きな注目を集めると考えられます。Experience Managerのアップデートは規模こそ大きいものの、その大半はクロスサイトスクリプティング(XSS)の不具合です。
2026年6月Microsoft社からのセキュリティアップデート
今月、MicrosoftはWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Microsoft Edge(Chromiumベース)、Azure、.NETおよびVisual Studio、GitHub Copilot、Defender、Exchange Server、Hyper-V、Secure Boot、BitLockerを対象に、過去最多となる208件に及ぶ脆弱性(CVE)をリリースしました。Microsoftのツールには何らかの問題があるようで、当初はこのリリースに2020年のCVEが1件含まれていました。いずれにせよ件数は200件を超えています。
これらの不具合のうち1件はZDIプログラムを通じて報告されたものですが、Pwn2Own Berlinで提出された不具合は依然として未修正のままです。Chromiumやその他のサードパーティ製の不具合を含めると、6月のCVE総数は571件という驚異的な数に達します。このうち38件が「緊急(Critical)」、残りが「重要(Important)」と評価されています。
筆者は2017年からPatch TuesdayのCVE件数を数えてきましたが、今回はその中でも群を抜いて最大の月間リリースです。これまでの記録は昨年の177件でした。Microsoftが1か月でこれほど多くのパッチを作成できることは驚異的ですが、同時に懸念も生じます。このうち何件がAIツールを用いて発見されたのでしょうか。何件のパッチが、コーディングやテストの補助にAIを用いて生成されたのでしょうか。これらのパッチにはどのような品質上の問題が潜んでいるのでしょうか。そしておそらく最も重要な点として、これが新たな常態(ニューノーマル)になるのでしょうか。直近の2か月も大規模なリリースでした。システム管理者は、この新たな更新量を踏まえて、優先順位付けやパッチ配布のプロセスを見直すべきなのでしょうか。残念ながら、Microsoftは現時点でその答えを示していません。今後それが変わることを期待します。ちなみに、念のため申し添えると、Microsoftが今年これまでに提供したCVEの件数は、2018年の年間提供総数をすでに上回っています。
今月Microsoftが修正した不具合のうち1件は実際に悪用が確認されているとされ、別の3件はリリース時点で一般に公開されている(publicly known)とされています。今月の興味深いアップデートのいくつかを、実際に悪用されている不具合から順に詳しく見ていきましょう。
CVE-2026-41091 - Microsoft Defender の特権の昇格の脆弱性
Microsoftは悪用がどの程度広がっているかについて情報を提供していないため、状況を推し量るしかありません。このパッチでは複数の異なる人物が謝辞に挙げられており、これは複数の関係者がこれを実環境での悪用だと指摘していることを意味します。つまり、悪用は相当な規模に及んでいる可能性が高いと考えられます。幸いなことに、Defenderは自動的に更新されるため、ほとんどのユーザは特に対応する必要はありません。ただし、自動更新を構成していない場合や、隔離された環境にある場合は、最新バージョンへ更新する必要があります。
CVE-2026-45657 - Windows Kernel のリモートでコードが実行される脆弱性
このCVSS 9.8の不具合は、リモートの認証されていない攻撃者が、ユーザ操作なしにSYSTEMレベルでコードを実行できるというものです。そう、これはワーム化が可能です。問題は、カーネルがTCP/IPを処理する方法にあります。Microsoftはこれを「悪用される可能性は低い(Exploitation Less Likely)」と分類していますが、世界中のあらゆるリサーチャーやバグ調査会社が、今まさにこのパッチをリバースエンジニアリングしてエクスプロイトの作成を試みていると考えて間違いありません。このパッチは速やかにテストして配布してください。
CVE-2026-47291 - HTTP.sys のリモートでコードが実行される脆弱性
今月2件目のCVSS 9.8の不具合で、これもリモートの認証されていない攻撃者が、ユーザ操作なしに影響を受けるシステム上でコードを実行できるというものです。ただし、注意点があります。Windows HTTPスタックが使用する「MaxRequestBytes」レジストリ値が既定のままのシステムは、この不具合の影響を受けません。パッチのテストと配布を進める間に保護が必要な場合は、レジストリ設定を編集することができます。速報には、その手順に加えてPowerShellスクリプトまで記載されています。Microsoftはこれを「悪用される可能性が高い(Exploitation more likely)」と分類しているため、レジストリ設定を必ず確認することをおすすめします。
CVE-2026-44815 - DHCP Client Service のリモートでコードが実行される脆弱性
これも妙な矛盾を抱えたCVSS 9.8の不具合です。CVSSでは悪用に権限は不要とされている一方で、解説文では「認証された(authenticated)」ユーザでなければならないと記載されています。ここは安全側に倒して、CVSSの記載を信じるべきでしょう。それが正しければ、これもまた、リモートの認証されていない攻撃者が、ユーザ操作なしに影響を受けるシステム上でコードを実行できる不具合ということになります。DHCPクライアントはあらゆるOSに存在するため、格好の標的です。これも急いでテストして配布すべき1件です。
CVE-2026-45585/CVE-2026-50507 - Windows BitLocker のセキュリティ機能のバイパスの脆弱性
Nightmare EclipseとMSRCの間で続いている一連の騒動を追っている方なら、これらの不具合には見覚えがあるはずです。一方は明らかに「YellowKey」の修正であり、もう一方は「GreenPlasma」の修正と見られます。このリサーチャーは6月14日に「bone shattering」(骨も砕けるような)公開を予告しているため、さらなるゼロデイが公開される前に、Microsoftがこのリサーチャーと何らかの折り合いをつけられることを願うばかりです。なお、Microsoftは緩和策としてスクリプトを提供していますが、より良い対策はアップデートをテストして配布することです。
Microsoftが2026年6月にリリースしたCVEの全リストはこちらのとおりです。
その他の脆弱性
緊急に分類された脆弱性
今回のリリースに含まれるその他の「緊急」評価の不具合を見ると、最も恐ろしく見えるものが実はまったく心配無用、というケースもあります。Azure HorizonDBのCVSS 10の不具合は、すでにMicrosoftによって対処済みであり、今回は単に文書化されているだけです。これは他の5件についても同様です。
当然ながら、プレビューウィンドウを攻撃経路とするOfficeの不具合がないリリースはありません。6月にも複数存在します。リモートデスクトップクライアントにも少数の不具合がありますが、これらは悪意のあるRDPサーバへの接続が前提となります。Hyper-Vには、ゲストからホストへのコード実行を可能にするパッチが3件あります。
Active Directoryの不具合は認証を必要としますが、認証済みであればどのユーザでも悪用が可能です。Windows Directory Serviceの脆弱性については、TFTPを待ち受けている必要があります。どこでもブロック済みです.。
Azure Network Adapterの不具合はやや特殊で、保護するにはLinuxカーネルを更新する必要があります。Azure Kubernetesの不具合では、攻撃者がコンテナから抜け出し、AKSワーカーノードを制御できる可能性があります。最後に、Kerberosキー配布センター(KDC)の不具合は可能性が低いと見られますが、悪用された場合、認証済みの攻撃者が影響を受けるシステム上でコードを実行できる恐れがあります。
リモートコード実行関連
次に、その他のコード実行の不具合に移ります。ExcelやWordといったOfficeコンポーネントには、おなじみの「ファイルを開かせて乗っ取る」タイプの不具合があります。Exchange Serverのコードインジェクションの不具合は厄介に見えますが、中間者攻撃(MiTM)を必要とするため、悪用される可能性は低いといえます。
SharePointの不具合は認証を必要としますが、このパッチがSharePoint Server 2016とSharePoint Enterprise Server 2016の両方に適用される点に注意してください。UPnPの2件の不具合は興味深いものです。いずれも、特別に細工されたデータの処理中にエラーを引き起こすことでコード実行につながる可能性があり、解放後使用(UAF)の不具合に至る恐れがあります。
RDPクライアントの不具合はいずれも悪意のあるRDPサーバへの接続を必要としますが、一部が「緊急」、一部が「重要」と評価されている理由は明確ではありません。NTFSの脆弱性は、ユーザが影響を受けるシステム上で仮想ハードドライブをマウントすることを必要とします。今月最後のRCEの不具合はAzure Stack Edgeにあり、攻撃者が改ざんしたファイル名やパスを含む特別に細工されたファイルアップロード要求を送信することで、コード実行に至るというものです。
特権昇格関連
今月のリリースには60件を超える特権昇格(EoP)の不具合が含まれていますが、いつものとおり、その大半はローカルの攻撃者がSYSTEMレベルの権限または管理者権限で自身のコードを実行できるというものにとどまり、不具合自体に関する詳しい技術情報がなければ付け加えることはあまりありません。
注目すべき例外はExchange Serverにあり、Outlook Web Access(OWA)上のユーザが他のメールボックスにアクセスできる可能性があります。Visual Studio Codeの不具合では、攻撃者がMCPサーバのマネージドIDに関連付けられた権限を取得できる恐れがあります。Windows SDKおよびWindows UI Automation Managerの不具合では、攻撃者が低い整合性レベルから中程度の整合性レベルでのコード実行へと昇格できる可能性があります。Bluetoothの不具合は単に「昇格した(elevated)」権限を取得できるとされているだけで、その「昇格」が何を指すのかは具体的に説明されていません。
セキュリティ機能のバイパス
次に、6月のリリースに含まれる20件を超えるセキュリティ機能バイパス(SFB)の不具合に移ります。このうち合計10件がSecure Bootに影響します。いずれもCVSSでスコープ変更(S:C)を伴っており、これは悪用が成功した場合、脆弱なコンポーネント自体を超えてセキュリティ境界に影響が及ぶことを意味します。具体的には、起動時に信頼されていないコードを読み込ませる、Virtual Secure Modeを回避する、起動の整合性保証を損なう、といったことが可能になります。CVE-2026-45654では、VSMへの影響が明示的に指摘されています。これらの大半はAlon Leviev氏(STORM)の功績とされており、同氏が過去にBootKittyやBlackLotusに関連する研究を行っていたことを踏まえると注目に値します。
Windows Boot Managerの不具合は、Secure Bootの不具合と同様の影響を持ちます。UEFI Secure Bootの脆弱性は、さらに一段深い層に踏み込んでいます。これらはローカル管理者権限または物理アクセスを必要としますが、OSが読み込まれる前の段階でも信頼されていないコードを実行できる可能性があります。ルートキットでもいかがでしょうか。BitLockerの4件の不具合はいずれも物理アクセスを必要としますが、悪用された場合、暗号化されたデータを取得できる恐れがあります。
Windows Administration Protectionの不具合では、標準ユーザのアプリが管理者レベルの操作を行うのを防ぐ機能を、攻撃者が回避できます。Visual Studio Copilot Chatの不具合は、認証のなりすましを可能にするため、ここで取り上げる起動関連以外の不具合としては最も興味深いものかもしれません。Mark of the Web(MotW)およびExcelの脆弱性は、ユーザへの警告を回避できる可能性があります。最後に、PC Managerの不具合は、想定されているユーザの操作制御を回避します。
なりすまし関連
次に、リリースに多数含まれるなりすましの不具合に目を向けると、SharePoint Serverに影響するものが18件あることがすぐに分かります。幸い、これらは単純なクロスサイトスクリプティング(XSS)の不具合です。本当に警戒すべきはExchangeの不具合です。1件はXSSで、攻撃者がExchange管理者を誘導して悪意のあるリンクやメッセージを開かせることで悪用でき、その結果、管理者のWebセッション内でコードが実行されます。これは見過ごせない権限昇格の経路です。もう1件はSSRFベースの攻撃とされていますが、それ以外の詳細は公開されていません。最後の1件は影響の小さいXSSで、機密性・完全性への被害は限定的です。
Bing Search(Bingを覚えていますか?)の不具合は、典型的な検索結果のなりすましです。Azure Stack Edgeの不具合は興味深く、脆弱なコンポーネントのセキュリティ境界の外にあるリソースへのアクセスを許してしまう可能性があります。Office for Androidの不具合はユーザ操作を必要とします。Office Project Serverの不具合は、影響の小さい認証済みXSSです。最後のなりすましの不具合はAzure Attestationにありますが、すでに対処済みです。とはいえ、Microsoftの解説に記載された手順に従って、保護されていることを確認しておくべきです。
情報漏洩関連
このリリースには30件の情報漏洩の不具合があり、幸いなことに、その大半は内容が特定されていないメモリの中身やメモリアドレスといった情報の漏洩にとどまります。Visual Studioの2件の不具合はユーザ操作を必要とし、「ネットワーク経由で情報を漏洩させる」可能性があるとされています。なんとも要領を得ない説明です。
GitHub CopilotおよびVisual Studio Codeの不具合では、ユーザの業務用アカウントのサインインアクセストークンが漏洩する恐れがあります。これは単なるランダムなメモリではなく、見過ごせない認証情報の露出です。残るはExchange Serverの2件の不具合です。1件は、認証済みのユーザがExchangeサーバから到達可能なネットワークサービスに関する情報を取得できる可能性があります。もう1件はOWAのなりすましの不具合とよく似ており、攻撃者がアクセス権を持たないはずのメールボックス内の情報を閲覧できるというものです。
改ざん関連
筆者は以前から「改ざん(tampering)」というカテゴリがあまり好きではありません。あまりにも多くの異なる意味を持ちうるからです。たとえば.NETの不具合は、認証されていない攻撃者がローカルで改ざんを行える可能性がある、とだけ記載されています。同様に、Visual Studioの不具合も同じ説明ですが、こちらでは改ざんがネットワーク経由で発生します。DHCP Serverの改ざんの不具合に至っては、MicrosoftはCWEすら記載しておらず、何が起こるのかは推測するしかありません。
サービス拒否(DoS攻撃)関連
6月のリリースには7件のDoSの不具合があり、いつものとおり、Microsoftはこれらの脆弱性について実用的な情報をほとんど、あるいはまったく提供していません。最も興味深いのはHTTP.sysの不具合で、一般に公開されているとされています。これは制御されないリソース消費に分類され、「悪用される可能性が高い(Exploitation More Likely)」と評価されたうえで、一般に公開されています。HTTP.sysはIISおよびWindowsのWebサービスの中核に位置するため、ここでネットワーク経由のDoSが発生すると、HTTPベースのサービスを実行しているあらゆるWindowsサーバを停止させられる恐れがあります。謝辞から判断すると、この不具合はAIを用いて発見された可能性があるようです。
その他の不具合については実質的な詳細はありませんが、影響度だけを踏まえると、優先順位を付けるならKerberosとTCP/IPの不具合に注目します。
今月、新たなアドバイザリのリリースはありません。
次回の予定
次回のPatch Tuesdayは7月14日で、Black Hat/DEFCONの前の最後の回となります。例年、大規模なリリースになるため、しっかり気を引き締めて臨んでください。その際にまた、詳しい見解をお伝えします。それまで、どうぞご安全に、よいパッチ適用を。そして、すべての再起動がスムーズかつクリーンでありますように!
参考記事
The June 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, TrendAI Research)