Microsoftがまた大仕事をやっています。今回のPatch Tuesdayでは、なんと138件もの脆弱性に対して修正パッチが公開されました。しかも、そのうち30件がCritical。セキュリティ修正の世界では、これはかなりのボリュームです。
個人的には、ここが一番面白いところだと思います。単に「件数が多い」だけではなく、AIを使った脆弱性発見が加速していて、パッチの規模そのものが膨らみつつある、という流れがはっきり見えてきています。便利さの裏で、守る側の仕事もどんどん増えているわけです。
The Hacker Newsによると、Microsoftは2026年5月のPatch Tuesdayで、138件のセキュリティ脆弱性を修正しました。内訳は以下の通りです。
種類別に見ると、特に多いのは権限昇格(privilege escalation)系で、61件。これは、もともと低い権限しか持っていない攻撃者が、より強い権限を得てしまう脆弱性です。たとえば「一般ユーザーのはずが管理者っぽいことまでできてしまう」状態ですね。
そのほかにも、
と、かなり幅広い修正が含まれています。
今回の中で目立つのは、Windows DNS と Netlogon のRCE脆弱性です。ここは企業環境だとかなり重要です。
これは、heap-based buffer overflow という種類の問題です。ざっくり言うと、プログラムがメモリを扱うときに「ここまでしか入らない箱」に「もっと大量のデータ」を無理やり入れてしまい、動作を壊されるタイプの脆弱性です。
Microsoftによれば、攻撃者は細工されたDNSレスポンスを送ることで、WindowsのDNS Clientにメモリ破損を起こさせ、条件次第では認証なしで遠隔コード実行が可能になるとのこと。
これは地味に見えて、実はかなり怖いです。DNSはネットワークの“住所録”みたいなもので、そこが壊れると被害の広がり方が大きい。こういう基盤部分の脆弱性は、派手さはなくても実害が大きくなりやすいんですよね。
こちらはWindows Netlogonのstack-based buffer overflow。これもメモリ破損系の脆弱性です。
Microsoftの説明では、攻撃者は特別に細工したネットワークリクエストを送るだけで、ドメインコントローラーとして動作しているWindowsサーバー上でコードを実行できる可能性があります。
ドメインコントローラーは、企業の社内認証の中心になることが多いので、ここを取られるとかなり厄介です。個人的には、この手の脆弱性は「1台のサーバーの問題」に見えて、実際は社内全体の信頼の土台を揺らしかねないのが怖いと思います。
今回のパッチには、Azure系やMicrosoft製品群の重要な修正も多数含まれています。いくつか抜き出すと、こんな感じです。
ここで気になるのは、クラウドだけでなくオンプレミス製品も含まれていることです。つまり「うちはクラウドじゃないから関係ない」という話でもない。Microsoft製品を広く使っている組織ほど、今回の影響範囲は無視できません。
どちらもWordにある脆弱性で、ユーザー操作なしでローカルコード実行につながるとされています。
「ファイルを開いたらアウト」という話よりさらに嫌な方向で、場合によってはかなり扱いが難しいタイプです。Office系は、どの企業にも入り込みやすいので、こういう修正は見逃し厳禁です。
今回の記事で個人的にかなり重要だと思ったのが、Secure Boot証明書の更新です。
Microsoftは、2011年発行の証明書が来月失効するため、2023年版の証明書へ更新しておくように呼びかけています。
Secure Bootは、PC起動時に「正しいソフトだけを立ち上げる」ための仕組みです。これが崩れると、起動前の段階で悪意あるコードを混ぜ込まれるリスクが高まります。
NightwingのRain Baker氏は、これを「最も重要な非CVE更新」と呼び、2026年6月26日までに更新されていない端末は、深刻な起動レベルのセキュリティ失敗や、セキュリティ低下状態に陥る可能性があると警告しています。
ここは地味ですが、かなり重要です。
脆弱性番号が付いていないからといって油断すると、あとで痛い目を見るやつですね。実務ではこういう「パッチ適用とは別枠の必須対応」が一番忘れられがちだと思います。
TenableのSatnam Narang氏によると、Microsoftは2026年に入って5か月で500件超のCVEを修正しているそうです。
この数字、なかなかすごいです。単なる“多忙”ではなく、脆弱性の発見そのものが高速化していることを示しています。
その背景にあるのが、AIを使った脆弱性発見です。Microsoftも今回、16件の脆弱性が新しい多モデルAI駆動の検出システム「MDASH」で見つかったと明かしています。
MDASHは、ざっくり言えば「複数のAIモデルを使って広く・深く脆弱性を探す仕組み」と理解するとよいと思います。
つまり、攻撃者だけでなく、守る側もAIで発見力を上げているわけです。これは健全な競争でもあり、同時に防御側の運用負荷を上げる話でもあります。
Microsoft Security Response CenterのTom Gallagher氏も、AI投資によって発見数が増えていると説明し、今後は脆弱性の数そのものだけでなく、露出度と影響度で優先順位を付けて対処すべきだと述べています。
このコメント、かなり実務的で好きです。
「件数が多いから大変」ではなく、「どれが本当に危ないのかを見極めろ」という話なので、現場感があります。
Microsoftは今回、単にパッチを当てるだけでなく、次のような基本対策も改めて勧めています。
要するに、「脆弱性が増えているからこそ、パッチだけでなく基本の守りを固めろ」ということです。
地味ですが、結局これが一番効きます。セキュリティって派手な新技術より、こういう面倒な基本動作の積み重ねが勝負なんですよね。
今回のPatch Tuesdayは、件数の多さもさることながら、基盤系の重要なRCEと、AIで脆弱性発見が加速している現実が印象的でした。
特に優先度が高そうなのは、
あたりです。
個人的には、今後のPatch Tuesdayは「毎月の定例修正」というより、AI時代の継続的なリスク管理イベントになっていくのではないかと思います。
件数は増える。でも全部を同じ重さで見るのではなく、自分の環境に直結するものから速く潰す。この考え方がますます大事になりそうです。
参考: Microsoft Patches 138 Vulnerabilities, Including DNS and Netlogon RCE Flaws
