エクスプロイト&脆弱性
2026年7月 セキュリティアップデート解説:Microsoft社は621件、Adobe社は88件の脆弱性に対応
今月は、例を見ない規模のセキュリティアップデートとなりました。内容を整理しながら、AdobeとMicrosoftの最新セキュリティパッチを見ていきます。リリース全体を扱った動画版の総まとめも、こちらからご覧いただけます。
今月は、例を見ない規模のセキュリティアップデートとなりました。内容を整理しながら、AdobeとMicrosoftの最新セキュリティパッチを見ていきます。リリース全体を扱った動画版の総まとめも、こちらからご覧いただけます。
2026年7月Adobe社からのセキュリティアップデート
Adobeは月2回のリリーススケジュールへ移行し、毎月第2火曜日と第4火曜日にパッチを公開することになりました。今後も本ブログでは第2火曜日のリリースを取り上げ、第4火曜日のリリースに重要な内容が含まれていれば記事を更新します。大規模なリリースを分散し、対応しやすくする方法といえます。Appleも同様の方針を表明しており、他のベンダーが追随するか注目されます。
7月リリースの第1弾として、Adobeは12件のセキュリティ情報を公開し、Adobe ColdFusion、Commerce、After Effects、Animate、Audition、Bridge、Creative Cloud Desktop Application、Experience Manager、Illustrator、Media Encoder、Premiere Pro、Content Credentials SDKに存在する88件の固有CVEに対処しました。
今月の概要一覧については、こちらのPDFをご参照ください。
現在悪用が確認されている脆弱性はありませんが、ColdFusionとCommerceのパッチを優先することをお勧めします。ColdFusionのパッチには、CVSSスコア9.9の脆弱性も含まれています。それ以外のアップデートは、おおむね標準的な内容です。該当製品を利用している場合はパッチを適用してください。ただし、通常のパッチ適用サイクルに沿って対応しても問題ありません。
2026年7月Microsoft社からのセキュリティアップデート
今月のMicrosoftのリリースは、過去最大規模となりました。集計方法によって差はあり得ますが、7月に公開された新規CVEは621件と見ています。このうち一部はオンラインサービスの脆弱性で、ユーザによる対応は不要です。このほか、ChromiumおよびMicrosoft Edge(Chromiumベース)の脆弱性が約480件掲載されていますが、本記事では扱いません。Microsoftが過去20年間に公開した脆弱性を確認したところ、今年の年初から現在までのCVE件数は、過去すべての年の年間総数をすでに上回っていました。
今月の対象製品は多岐にわたります。WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Microsoft Edge(Chromiumベース)、Azure、.NET、Visual Studio、GitHub Copilot、Defender、Exchange Server、Hyper-V、Age of Empires II、Minecraft Serverにパッチが公開されました。「Windowsコンポーネント」が指す範囲も広く、多数の機能が修正対象となっています。深刻度の内訳は、「緊急(Critical)」が63件、「警告(Moderate)」が6件、「注意(Low)」が1件で、残りは「重要(Important)」です。このうち8件はZDIプログラムを通じて報告されました(詳しくは後述します)。2件のCVEは悪用が確認され、もう1件は一般に公開済みとされています。
リリースの規模が大きいため、優先順位を付けて確認する必要があります。まずは、実際に悪用されている脆弱性をはじめ、今月のアップデートの中でも特に注目すべきものを見ていきます。
CVE-2026-56155 - Active Directory Federation Services の特権の昇格の脆弱性
今月修正された複数のAD FS脆弱性のうち、実際に悪用が確認されているのは本脆弱性だけです。原因はアクセス制御の粒度が不十分なことにあり、攻撃を開始するにはローカルアクセスと低い権限が必要です。ただし、AD FSは侵入後の攻撃者が足掛かりとして好んで利用するID基盤そのものです。ランサムウェア攻撃でよく見られるように、リモートコード実行の脆弱性と組み合わせられる可能性もあります。早急にテストし、パッチを適用してください。
CVE-2026-56164 - Microsoft SharePoint Server の特権の昇格の脆弱性
今月実際に悪用されているもう1件の脆弱性は、CVSSスコア5.3です。「警告」に分類されていますが、認証の欠如に起因するため、認証されていない攻撃者がユーザ操作を必要とせず、ネットワーク経由で攻撃できます。現に悪用が確認されていることから、スコアだけで優先度を判断せず、速やかにパッチを適用してください。
CVE-2026-57092 - Microsoft Windows VMSwitch の特権の昇格の脆弱性
本脆弱性のCVSSスコアは9.9で、今月最高です。解放済みメモリの使用(use-after-free)に起因し、低い権限を持つ攻撃者が仮想マシンの境界を越え、ホスト全体を侵害できるようになります。Pwn2Own Berlinでは、ESXiを対象に似た攻撃が実演されましたが、この問題はESXiに限られないことが明らかになりました。Hyper-V環境でVMSwitchを使用している場合は、早急にテストし、パッチを適用してください。
CVE-2026-50522/CVE-2026-58644 - Microsoft SharePoint のリモートでコードが実行される脆弱性
対になるこの2件の脆弱性はいずれもCVSSスコア9.8で、信頼できないデータのデシリアライゼーションに起因します。認証もユーザ操作も必要なく、攻撃可能です。CVE-2026-50522はPwn2Own Berlinで実演され、Microsoftには実際に動作するエクスプロイトが提供されています。その一方で、同社はエクスプロイト成熟度を「不明」としています。ベンダーの評価だけに依存せず、各組織でリスクを評価することが重要です。インターネットからアクセス可能なSharePointサーバがある場合は、早急にテストし、パッチを適用してください。
CVE-2026-56190 - Remote Desktop Protocol のリモートでコードが実行される脆弱性
本脆弱性は、認証されていない攻撃者がユーザ操作を必要とせず、ネットワーク経由で攻撃できるものです。根本原因は典型的な未初期化リソースの使用(CWE-908)です。細工したRDPトラフィックによって、適切に初期化されていないメモリを操作し、メモリを破壊して、コード実行につなげられる可能性があります。RDPサーバはよく狙われるため、システムを監査してインターネットからアクセス可能なものを特定し、そこから対応を始めてください。
CVE-2026-55008 - Microsoft Exchange Server のなりすましの脆弱性
分類はなりすましですが、実質的にはXSSの脆弱性として扱う必要があります。Outlook Web Accessに存在する格納型クロスサイトスクリプティングの脆弱性であり、スコープ変更を伴ってWebアプリケーションのコンテキストを完全に抜け出せるため、CVSSスコアは9.6とされています。攻撃者が細工したメールを送信し、被害者がOWAで開くだけで、ブラウザセッション内で任意のJavaScriptが実行されます。添付ファイルやマクロの警告は必要なく、メッセージを表示するだけで攻撃が成立します。OWAを使用している場合は、早急にテストし、パッチを適用してください。
CVE-2026-50518 - Windows DHCP Server のリモートでコードが実行される脆弱性
本リリースにはDHCPのリモートコード実行の脆弱性に対するパッチが複数ありますが、もう一方には攻撃の前提条件があるのに対し、本脆弱性にはありません。どちらもヒープベースのバッファオーバーフローで、CVSSスコアは9.8です。また、認証されていない攻撃者がネットワーク経由で攻撃できます。インターネットに隣接する環境でDHCP Serverの役割を稼働させている場合は、最優先で対応してください。
CVE-2026-56188 - Windows Server Network driver のリモートでコードが実行される脆弱性
もう1件の「緊急」の脆弱性で、競合状態に起因します。競合状態は一般に安定した悪用が難しいとされますが、本脆弱性では、攻撃者がユーザ操作なしでネットワーク経由から特権コードを実行できる可能性があります。ワーム化する可能性もあるため、競合状態であることを理由に優先度を下げるべきではありません。
CVE-2026-55010 - Minecraft Bedrock Dedicated Server のリモートでコードが実行される脆弱性
本脆弱性は、Minecraft Bedrock Dedicated Serverに存在するヒープベースのバッファオーバーフローです。CVSSスコアは9.8で、認証を必要としないリモートコード実行の脆弱性に分類されます。DHCP基盤と同様に、外部からアクセス可能なMinecraftサーバにも速やかにパッチを適用してください。
Microsoftが2026年7月に公開したCVEの全一覧については、こちらのPDFをご参照ください。PDF内の「※」は、Microsoftによる修正がすでに完了しており、エンドユーザによる追加対応が不要なCVEを示します。
その他の脆弱性
以下では、本リリースに含まれる残りの脆弱性を種類別に整理します。
緊急に分類された脆弱性
残る「緊急」のパッチでは、Office関連が大きな割合を占めます。CVSSスコア7.8に集中するWord、Excel、PowerPoint、Officeのリモートコード実行の脆弱性が14件あり、Windows Media Foundationにも5件あります。プレビューウィンドウが攻撃経路となるものを除けば、個別には特筆すべき点はありません。Office全体にパッチを適用し、必要な再起動を行ってください。
DHCP関連も複数あり、前述の脆弱性に加えてCVE-2026-56159、CVE-2026-48564、CVE-2026-50370、さらにDHCP ClientのCVE-2026-54128があります。1回のリリースにDHCPのリモートコード実行の脆弱性が5件含まれます。ほかにも、Print Spooler(CVE-2026-58608)、Windows TCP/IP(CVE-2026-54999)、SQL Serverのリモートコード実行の脆弱性2件(CVE-2026-54117/CVE-2026-54118)にパッチが公開され、いずれもCVSSスコア8.8です。CVE-2026-55944(Dynamics NAV/Business Central On-Premのリモートコード実行、9.8)は、SharePointの2件と同じデシリアライゼーションの問題です。認証は不要で、ネットワークから攻撃でき、SharePointではないため見落とされやすい点に注意が必要です。CVE-2026-48561(Microsoft Copilotのリモートコード実行、9.6)とCVE-2026-50380(Windows GDI+のリモートコード実行、9.6)も高いスコアとなっています。
SharePointのセキュリティ機能のバイパスであるCVE-2026-55040(9.1)は、SharePointの2件のリモートコード実行の脆弱性と同時にパッチを適用することが推奨されます。IDおよびインフラストラクチャも影響を受けます。CVE-2026-54121(AD Certificate Servicesの特権昇格、8.8)とCVE-2026-50444(WSUSの特権昇格、8.8)です。Reliable Multicast Transport Driver(RMCAST)には2件のリモートコード実行の脆弱性(CVE-2026-54982、CVE-2026-54995)があり、CVE-2026-50474によってRemote Desktop Clientにも、前述のRDPとは別のリモートコード実行の脆弱性が加わりました。このほか、Defenderのリモートコード実行が2件、GDI+がさらに1件、Windows Mediaが2件、Secure Kernel Modeの特権昇格が2件、Hyper-Vの特権昇格がもう1件あります。これらは、通常のパッチサイクルでも見られる種類の脆弱性です。
リモートコード実行関連
残るリモートコード実行の脆弱性は95件あるため、ここでは主なものを取り上げます。CVE-2026-55944(Dynamics NAV/Business Central On-Prem、9.8)は、SharePointの2件と同種のデシリアライゼーションの問題です。認証は不要で、SharePointではないため見落としやすい脆弱性です。CVE-2026-54990(Remote Desktop Client)、CVE-2026-49172(Windows FTP Service)、CVE-2026-50447(MSMQ)もすべて9.8で、深刻度の区分がCVSSスコアに追い付いていない場合があることを示しています。CVE-2026-48561(Copilot)とCVE-2026-50380(GDI+)は9.6です。
注目すべき傾向として、Windows NTFSに14件、ReFSに7件のリモートコード実行の脆弱性があります。ファイルシステムドライバの脆弱性が計21件という異例の集中であり、共通の根本原因が存在する可能性を示しています。Microsoft Edge(Chromiumベース)にも21件ありますが、これらはChromiumの脆弱性を再掲したものではなく、Microsoftが実際に修正すべき脆弱性です。Remote Desktop Clientには2件目と3件目のリモートコード実行の脆弱性(CVE-2026-50474、CVE-2026-58594)が加わり、Windows Admin Centerにも2件(CVE-2026-56196/CVE-2026-56197)が追加されました。WACが攻撃にさらされる範囲は、リリースを重ねるごとに広がっています。Exchange Server(CVE-2026-55005)とAD Domain Services(CVE-2026-49178)は、いずれも8.8です。
このほか、Age of Empires II: Definitive Editionに存在するリモートコード実行の脆弱性、CVE-2026-50663にもパッチが公開されています。該当するゲームサーバを運用している場合は、こちらも対応が必要です。
特権昇格関連
今月のリリースには、260件近い特権昇格の脆弱性があります。その大半は、ローカルの攻撃者がSYSTEMレベルまたは管理者の権限でコードを実行できるというものです。脆弱性そのものに関する詳しい技術情報がなければ、これ以上付け加えられる点は限られます。課題となるのは、94件に昇格後の権限が明記されていないことです。Microsoftは詳細を示さず、「権限を昇格できる」とだけ説明しています。数えてみると、個別に検討すべき脆弱性は約25件に絞られます。中には、実際には権限が昇格しないものもあります。FAQには、攻撃者が得るのは「影響を受けるアプリケーションを実行しているユーザの権限」だけだと明記されています。該当するのはWin32k、Clip Service、Search Service、MSMQ、SharePointです。整合性レベルがLowからMediumへ上がるものも数件あります。また、サービスアカウントの権限低下や任意ファイルの削除につながるものもありますが、それ以外に特に目立つものは確認できませんでした。
セキュリティ機能のバイパス
今月は、セキュリティ機能のバイパスの脆弱性が20件あり、内容は多岐にわたります。筆頭はSharePoint Serverの弱い認証に起因するCVE-2026-55040で、深刻度は「緊急」、CVSSスコアは9.1です。同じ製品なので、SharePointの2件のリモートコード実行の脆弱性と同時にパッチを適用してください。AIコーディングツールの脆弱性が続く傾向も見られます。GitHub Copilot、Visual Studio Code、Visual Studioのすべてにセキュリティ機能のバイパスの脆弱性があり、その多くはインジェクションやパストラバーサルに関連しています。今月、一般公開済みとされる脆弱性はBitLockerの1件だけです。まだ悪用は確認されていませんが、一般公開された脆弱性は今後悪用される可能性を考慮する必要があります。攻撃には物理的アクセスが必要で、Microsoft XMLの脆弱性も同様です。ファームウェア/ブート関連の一群にも注意が必要です。Secure Boot、Boot Loader、Key Guardはいずれも、OSより下層のトラストチェーンに関係します。CVSSスコアが低くても、上位のセキュリティ境界に影響が及ぶ可能性があります。残るものは、.NETが2件、Windows Kernelが2件、さらにDNSとCryptographic Servicesです。
なりすまし関連
7月のリリースには、なりすましの脆弱性が31件あります。最も重要なExchangeの脆弱性はすでに取り上げました。SharePoint Serverにはさらに10件あり、ほぼすべてが同じ根本原因です。格納型XSSにより、認証された攻撃者がブラウザ内のコンテンツを偽装できます。Microsoft Edge(Chromiumベース)にはさらに15件あり、アクセス制御の不備、SSRF、型の混同、UIの不正表示などに及びます。いずれもChromiumの脆弱性を再掲したものではなく、Microsoftが実際に修正すべき脆弱性です。残る6件は、隣接ネットワークから攻撃可能なWindows NATのなりすまし、iOS版Bingアプリ、Power BI Report ServerのXSS、.NETの出力エンコーディング、AD FSのなりすましなどです。一般公開済みまたは悪用確認済みのものはありません。しかし、今年のSharePointを巡る状況を踏まえると、「単なるなりすまし」と考えてパッチ適用の優先度を下げるべきではありません。
情報漏洩関連
情報漏洩の脆弱性111件のうち、大半は、内容が特定されていないメモリまたはメモリアドレスの漏洩にとどまります。注目すべきはGitHub Copilotです。この脆弱性では認証情報の保護が不十分で、単なるメモリの断片ではなく、実際の機密情報が漏洩します。Windows Admin Centerの脆弱性では、不適切な認証によってデータが開示されます。管理コンソールから権限のない第三者に情報が漏れるため、影響を慎重に評価する必要があります。SharePointでは、SSRFを利用してサーバ側のデータを取得できます。Event Logging Serviceの脆弱性は、メモリの問題ではなく、保護メカニズムの不備です。Edgeには、ファイルシステムに深く関係する情報漏洩が3件あります。不適切な認可、外部の第三者からアクセス可能なファイル/ディレクトリ、リンクの追従です。このほか、Edge for Androidで「個人の私的情報」が漏洩するものが2件、パストラバーサルが2件あります。残る40件以上の多くは、「権限のない主体への機密情報の開示」とだけ記されたもので、File Explorer、Push Notifications、Cryptographic Services、Win32kなどに分散しています。
改ざん関連
今月の改ざんの脆弱性は8件で、最も少ない分類ですが、注目すべきものがいくつかあります。筆頭はWSUSの脆弱性です。捕捉されない例外に起因し、認証されていない攻撃者がネットワーク経由で更新サービスを改ざんできます。パッチ管理基盤そのものが対象となるため、優先的な確認が必要です。Windows CNG(暗号API)には、必要な暗号処理が欠けている脆弱性があります。Windows DNS Clientは3件あり、2件は不適切なアクセス制御、1件は重要な機能で認証が欠如している問題です。1回のリリースでDNS名前解決に複数の改ざん経路が見つかったことは、個別の問題だけでなく、一つの傾向として捉える必要があります。Outlook Copilotについては、「悪意ある使用」によりネットワーク経由で改ざんが可能になると説明されていますが、詳細は限定的です。Copilotブランドの機能に関連する脆弱性が継続して確認されています。最後に、.NETのリンク追従とWSL2カーネルの競合状態にもパッチが公開されました。いずれも攻撃にはローカルアクセスまたは認可されたアクセスが必要です。
サービス拒否(DoS攻撃)関連
最後に、サービス拒否(DoS)の脆弱性が35件あります。内容を見ると、ID基盤に関係するものが目立ちます。Active Directory Federation Servicesだけで7件を占め、すべてCVSSスコア7.5です。スタックベースのバッファオーバーフローまたは無限ループにより、認証されていない攻撃者がネットワーク経由でサービスを停止させることができます。.NET関連も大きな一群です。.NET、.NET Framework、ASP.NET Core/ODataを合わせて9件あり、ほぼすべてが「上限やスロットリングを設けずにリソースを割り当てる」問題です。HTTP.sysとHTTP/2にも同種の脆弱性があります。LSASSも2件あり、このプロセスが保持する情報を踏まえると、注意して確認すべきです。このほか、Windows DHCP Server、SMB Server、Secure Channel、Hyper-V、IKE Protocolにもそれぞれ1件ずつパッチが公開されています。その多くは、インターネットから誰でも攻撃できるものではなく、認可されたアクセスまたは隣接ネットワークからのアクセスを必要とします。
今月、新しいアドバイザリの公開はありません。
次回の予定
次回のPatch Tuesdayは8月11日で、ラスベガスで開催されるHacker Summer Campの直後にあたります。次回もリリースの規模にかかわらず、詳しい内容をお届けします。それまで、計画的にパッチ適用を進めてください。
参考記事
The July 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, TrendAI Research)