2026年6月9日(米国時間)、Microsoftは月次セキュリティ更新プログラムを公開しました。Rapid7およびBleepingComputerのPatch Tuesday集計では、修正対象は200件のCVEに達し、Microsoft Patch Tuesday史上最大規模を更新しています。前回記録は2025年10月の167件で、これを大幅に上回りました。33件のCritical脆弱性、3件の公開済みゼロデイ(publicly disclosed zero-day)を含み、いずれもMicrosoftは現時点で実環境での悪用を確認していないとしています。
一方、Microsoft日本語ブログの早期適用推奨リストには、今月新規修正の脆弱性に加えて先月分や既存の脆弱性も含む計7件が「悪用または詳細公開を確認している脆弱性」として列挙されており、Exchange ServerのCVE-2026-42897(5月公表)の新たな悪用確認がJPCERT/CC注意喚起でも明示されています。さらに研究者Nightmare EclipseによるWindows Defenderゼロデイ「RoguePlanet」のPatch Tuesday当日公開、Calif.ioによるOpenAI Codex発見のHTTP/2 Bomb(IIS未対応)と、単月のPatch Tuesdayを超えた連動する動きが発生しています。
200件の内訳:3件の公開済みゼロデイと33件のCritical
Rapid7のAdam Barnett氏による集計(同社Patch Tuesday分析)によると、今月の200件のCVEは以下のような構成です。
- 重大度別:Critical 33件 / Important 166件 / Moderate 1件
- Criticalの内訳:Remote Code Execution(RCE)28件、Elevation of Privilege(EoP)4件、Information Disclosure 1件
- 公開済みゼロデイ:3件
- Microsoftが「現時点で実環境での悪用は確認していない」と明記
カウントには Mariner、Azure HorizonDB、Microsoft Copilot、Copilot Chat、M365 Copilot、Exchange Online、Microsoft Graph の更新は含まれません。また、Microsoft Edge(Chromium)の脆弱性は今月だけで360件が別途修正されており、Adam Barnett氏は「ここ数年の典型的な月の桁が一つ違う規模」と表現しています。実際、Chromiumの増加が顕著なため、MicrosoftはSecurity Update Guideでの個別CVE列挙を取りやめる方針も明らかにしています。
3件の公開済みゼロデイ詳細
今月新規に整理された3件の公開済みゼロデイは、いずれも「Exploitation More Likely」評価で、PoCないし詳細が事前公開されている状態でMicrosoftがパッチを提供したものです。
| CVE | 製品・分類 | CVSS v3.1 | 備考 |
|---|---|---|---|
| CVE-2026-49160 | HTTP.sys Denial of Service | 7.5 | OpenAI Codex と第三者研究会社の連名で報告 |
| CVE-2026-50507 | Windows BitLocker Security Feature Bypass | 6.8 | 今月新規修正のBitLocker SFB。研究者Nightmare Eclipse氏が5月に公開した「YellowKey」(後述CVE-2026-45585)とは別件 |
| CVE-2026-45586 | Windows Collaborative Translation Framework(CTFMON)EoP | 7.8 | 同研究者が「GreenPlasma」として公開、ローカル権限昇格 |
Microsoftの公式アドバイザリではCVE-2026-49160とCVE-2026-50507のクレジット欄に研究者名が記載されておらず、「Microsoft recognizes the efforts of those in the security community who help us protect customers through coordinated vulnerability disclosure」という定型文のみが置かれています。Nightmare Eclipse氏との関係性が反映された処置と複数媒体が指摘しています。
OpenAI Codex が発見したHTTP.sysゼロデイ
今月の最も構造的な変化は、Microsoftが公開済みゼロデイの1件であるCVE-2026-49160(HTTP.sys Denial of Service)について、OpenAI Codexと第三者研究会社を発見者としてクレジットしている点です。CVE-2026-49160はMicrosoft HTTP.sysに対するDoS脆弱性であり、Microsoftは「ネットワーク経由で制御不能なリソース消費を引き起こす」と説明しています。
Rapid7のAdam Barnett氏は、これを単独事例ではなく構造変化として捉え、「LLMの能力向上により、研究者は特定ソフトウェアだけでなくソフトウェアが依拠する標準仕様自体を探査するようになっており、HTTP/2 / HTTP/3標準への類似の発見はさらに拡大する見込み」と分析しています。さらに「Linux Kernelなど他のCVEカテゴリでもAI支援によるレポートが同様に増えている」と明記しました。
Tenable のシニアスタッフリサーチエンジニアSatnam Narang氏は「セキュリティ分野でのAI使用率は約90%との調査もあり、このパッチ量が新しい標準になる可能性がある。Pandoraの箱は開かれた」とコメントしています。Ivanti のChris Goettl氏(VP Security Product Management)はComputer Weekly誌に対し、ChromiumとEdgeのCVEを合算すると600件近くに達することに触れ「我々は今、Patch Apocalypseの中にいる」と表現しました。
並行する別件:Calif.ioのHTTP/2 Bomb(CVE-2026-49975)にMicrosoft IIS未対応
これとは別に、Calif.ioが6月2日に公開したHTTP/2 Bomb(CVE-2026-49975)もOpenAI Codexによる発見として並行進行中です。CVE-2026-49975はMicrosoft固有の脆弱性であるCVE-2026-49160とは異なり、複数のWebサーバー実装のHTTP/2に共通する設計上の問題です。Calif.io公式ブログによると、攻撃の特徴は次の通りです。
- HPACK圧縮爆弾とSlowloris型コネクション保持を組み合わせたメモリ枯渇DoS
- 単一クライアントが100Mbpsの一般的な接続から、20秒以内にApache httpdまたはEnvoyの32GBのサーバーメモリを枯渇可能
- 影響範囲:NGINX、Apache httpd、Microsoft IIS、Envoy、Cloudflare Pingora(いずれもデフォルトHTTP/2構成)
- NGINXは1.29.8+で max_headers ディレクティブ追加、Apache httpdはmod_http2 v2.0.41で対応
- Microsoft IISは6月9日時点で対応未完了
Calif.ioのQuang Luong氏らは「Codexがサーバーコードベースを横断的に読み込み、両既知技法の組み合わせ可能性を認識した」と発見プロセスを公開しており、コミットからエクスプロイトまでの時間が極端に短くなっている状況を強調しています。Rapid7のBarnett氏は「MicrosoftはこのCVE-2026-49975については本稿時点で直接対処しておらず、実務的に可能であればHTTP/2の無効化が有効な緩和策」と述べています。
研究者Nightmare Eclipseとの対立が再燃
もう一つの大きなストーリーは、独立研究者Nightmare Eclipse氏とMicrosoftの対立です。Rapid7とKrebs on Security の取材によると経緯は次の通りです。
過去数週の経緯
- Nightmare Eclipse氏はここ数週間で6件のMicrosoft脆弱性をPoCコード付きで公開、coordinated disclosureを経ていない
- うち修正済み(今月含む):CVE-2026-33825、CVE-2026-45585(「YellowKey」 / BitLocker SFB)、CVE-2026-45498、CVE-2026-41091、CVE-2026-45586(「GreenPlasma」 / CTFMON EoP)
- 未修正のまま残る:「MiniPlasma」
- 2026年5月Patch Tuesdayの直後に複数件を公開し、Microsoftが対応する時間的余地を最大限狭めた経緯あり
YellowKeyについて補足します。YellowKey(CVE-2026-45585、CVSS 6.8)は5月19日に同研究者が公開したBitLockerセキュリティ機能バイパスで、Windows 11 v24H2 / v25H2 / v26H1 およびWindows Server 2025(Server Coreを含む)に影響します。Microsoftは5月20日に緩和策付きアドバイザリを公開、暗号化アルゴリズム自体ではなくWindows Recovery Environment(WinRE)の挙動を悪用してBitLockerを迂回するもので、autofstx.exeの自動起動を阻止する手順とTPM+PINモードへの切り替えを推奨しました。Rapid7はこれを「今月までにパッチが提供された4件」の1つとして明示しています。
Microsoftの法的措置示唆と撤回
Microsoftは2026年5月27日の公式blog「A Shared Responsibility: Protecting Customers Through Coordinated Vulnerability Disclosure」でDigital Crimes Unitに言及し、研究者への法的措置を匂わせる表現を含めました。これに対し脆弱性開示コミュニティから強い反発が発生し、Microsoftは数日後にX(旧Twitter)の@msftsecresponseアカウントから「セキュリティ研究者を訴える意図はなく、法律違反や実害を引き起こす悪意的活動を行った場合に限り当局に報告する」と趣旨を訂正しました。
Rapid7は今回の運用について「MSRCの主要な声であるDigital Crimes Unitの呼び出しは、他の研究者がMSRCとの相互利益的関与から手を引く結果を招きかねず、長期的には逆効果になる可能性がある」と懸念を示しています。
Patch Tuesday当日の追加公開:RoguePlanet
2026年6月9日のPatch Tuesday公開の数時間後、Nightmare Eclipse氏は新たなブログとGitHubアカウントから7件目のゼロデイを公開しました。RoguePlanetと命名されたこの脆弱性は、Rapid7の説明では「Windows Defender経由のSYSTEM権限へのローカル昇格」とされています。これはBleepingComputerおよびThe Hacker Newsでも「Microsoft Defender ‘RoguePlanet’ Zero-Day Grants SYSTEM Access on Updated Windows」として個別記事化されています。
Nightmare Eclipse氏は同時に、次月のPatch Tuesdayと同じ7月14日に「bone shattering」と称する追加ゼロデイドロップを予告しています。同氏は自身を元Microsoft従業員と主張していますが、この点についてMicrosoftからの公式確認は確認できません。Rapid7は最近のブログ投稿でResident Evilシリーズに登場する研究者キャラクター「Albert Vesker」の画像が用いられた点を「企業を裏切る研究者というモチーフ」として記録しています。なお、ゲーム原作のキャラクター表記は「Wesker」ですが、研究者側の使用表記は「Vesker」となっています。
日本企業向け実務影響:JPCERT/CC注意喚起とCVE-2026-42897 Exchange悪用確認
JPCERT/CCは2026年6月10日付で注意喚起「2026年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起(JPCERT-AT-2026-0017)」を公開しました。同注意喚起では、5月14日(現地時間)公表のCVE-2026-42897(Microsoft Exchange Server のなりすましの脆弱性)について、Microsoftが新たに悪用を確認したと公表している点が明記されています。
MSRC日本語ブログの「悪用または詳細公開を確認している脆弱性 7件」
Microsoft日本語ブログ「2026年6月のセキュリティ更新プログラム(月例)」では、「更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認している」脆弱性として、Rapid7集計の3件に加えて先月公表分と既存脆弱性も含む計7件を列挙し、早急な更新適用を推奨しています。
| CVE | 製品・分類 | 備考 |
|---|---|---|
| CVE-2026-49160 | HTTP.sys のサービス拒否 | 今月公表、OpenAI Codex報告 |
| CVE-2026-45586 | Windows CTFMON 特権昇格 | 今月公表、Nightmare Eclipse公開「GreenPlasma」 |
| CVE-2026-50507 | Windows BitLocker SFB | 今月公表 |
| CVE-2026-45585 | Windows BitLocker SFB | 5月公表、Nightmare Eclipse公開「YellowKey」 |
| CVE-2026-42897 | Microsoft Exchange Server なりすまし | 5月公表、6月に新たに悪用確認 |
| CVE-2026-41091 | Microsoft Defender 特権昇格 | 既存脆弱性 |
| CVE-2026-45498 | Microsoft Defender サービス拒否 | 既存脆弱性 |
整理すると次の通りです。
- Rapid7およびBleepingComputer集計の「今月新規修正の200件の中の公開済みゼロデイ3件」 = CVE-2026-49160、CVE-2026-50507、CVE-2026-45586
- MSRC日本語ブログ「悪用または詳細公開を確認している脆弱性7件」 = 上記3件 + CVE-2026-45585(YellowKey)+ CVE-2026-42897(Exchange) + CVE-2026-41091(Defender EoP) + CVE-2026-45498(Defender DoS)
- 特にCVE-2026-42897は5月公表後、6月のセキュリティ更新公表タイミングでMicrosoftが新たに悪用確認を発表
- Exchange Serverを自社運用する組織は、5月分のセキュリティ更新が確実に適用されているかを再確認する必要がある
JPCERT/CCは併せて、Microsoft Update カタログとWindows Update適用を推奨対処として挙げています。Adobe製品については別途、「Adobe AcrobatおよびReaderの脆弱性(APSB26-63)に関する注意喚起(JPCERT-AT-2026-0018)」が同日公開されており、こちらもAcrobat / Readerを業務で使用する組織は確認対象です。
その他の注目脆弱性
CVSS 9.8 のCritical RCE群
今月のゼロデイ3件はいずれもCVSS 8未満ですが、Critical RCEにはCVSS 9.8が複数含まれます。Microsoft日本語ブログも「認証やユーザーの操作なしで悪用が可能な脆弱性」として、悪用確認はないものの早急なリスク評価と適用を推奨しています。
| CVE | 製品 | CVSS | Exploitation |
|---|---|---|---|
| CVE-2026-45657 | Windows Kernel Remote Code Execution | 9.8 | Less Likely |
| CVE-2026-47291 | HTTP.sys Remote Code Execution | 9.8 | More Likely |
| CVE-2026-44815 | DHCP Client Service Remote Code Execution | 9.8 | Less Likely |
| CVE-2026-47643 | Azure Stack Edge Remote Code Execution | 9.8 | Unlikely |
| CVE-2026-26142 | Nuance PowerScribe Remote Code Execution | 9.8 | Less Likely |
| CVE-2026-42904 | Windows TCP/IP Elevation of Privilege | 9.6 | Unlikely |
| CVE-2026-45602 | Windows DHCP Tampering | 9.1 | Less Likely |
CVE-2026-47291(HTTP.sys RCE)はゼロデイのCVE-2026-49160(HTTP.sys DoS)と同じコンポーネントで、Exploitation More Likely評価です。IISをインターネット境界で運用する組織は、両CVEの適用とHTTP/2 Bomb(CVE-2026-49975)の状況を一体で把握する必要があります。
PowerToys(CVE-2026-42902):密かに修正済みのSYSTEM EoP
Rapid7が今月別途取り上げているのが、Microsoft PowerToys のSYSTEM権限へのローカル昇格脆弱性CVE-2026-42902(CVSS 7.8)です。修正はPowerToys v0.99.1(2026年4月29日リリース)で既に行われていたものの、同バージョンのリリースノートには修正の明示記載がなく、今月のPatch Tuesdayで初めてCVE化されました。Rapid7は「パッチ差分解析(patch-diffing)ツールキットを持つ攻撃者は、このリリース間差異を悪用対象として注目する可能性がある」と警告しています。PowerToysを業務端末で配布している組織は、v0.99.1以降への更新状況を確認すべき項目です。
Visual Studio Code GitHub Tokenゼロデイ(緊急パッチ)
Krebs on Securityの報道によれば、Microsoftは6月3日に、Visual Studio CodeでワンクリックによりGitHub tokenを窃取され得る脆弱性への緊急パッチを公開しました。研究者ammaraskar氏は同日に攻略手順を解説するブログ記事を公開しており、Krebsの取材に対しては「過去にMicrosoftへ報告した別の脆弱性で、クレジット表示や謝辞なしに静かに修正された経験があったため、今回はMSRC経由を選ばなかった」と説明したとされています。同件はPatch Tuesdayの直接対象ではないものの、6月のVS Code関連修正の流れの中にあります。
Miasma続報:Microsoftリポジトリ73件にShai-Hulud系ワーム亜種
同じく今月の関連動向として、Microsoft公式リポジトリ73件にShai-Hulud系ワーム亜種とされるMiasmaが混入する事案が発生しました。StepSecurity、OpenSourceMalware、The Hacker News の報告を整理すると次の通りです。
- 2026年6月5日、Azure/durabletask リポジトリに対し、5月のMiasma初動で同じく侵害された投稿者アカウントから新たな悪意あるコミットがプッシュ
- GitHubは自動検出により4つのMicrosoft GitHub組織(Azure、Azure-Samples、Microsoft、MicrosoftDocs)にまたがる73件のリポジトリを105秒で無効化
- 従来のMiasmaがパッケージインストール時に発火する設計であったのに対し、今回の亜種はリポジトリを開いた瞬間に発火する設計に変更
- 発火経路:Claude Code、Gemini CLI、Cursor、Visual Studio Code のいずれかでリポジトリを開いた際にコンフィグファイル(.claude/settings.json のSessionStartフックを含む5種)が起動
- ペイロードはGitHub Personal Access Token、クラウド資格情報、開発ツールセッショントークンを窃取してdead-dropリポジトリに送信
The Hacker NewsはMicrosoft広報のコメントとして「悪意の可能性のあるコンテンツを調査するため、一部のリポジトリを一時的に削除した」を紹介しています。「パッケージインストール時の発火」から「フォルダを開いた瞬間の発火」への変化により、AI支援開発ツールが新たな攻撃面として確立しつつあります。
Adobe APSB26-63、Google Chrome 429件修正
Adobeは同日付で大規模な更新を公開し、Adobe Experience Manager、Acrobat Reader、Cold Fusionを含む製品群で多数のCriticalを修正しました(JPCERT/CC AT-2026-0018で日本語注意喚起公開)。Googleは6月3日にChromeで429件の脆弱性を修正済みで、Adam Barnett氏が指摘した「今月だけで360件のEdge / Chromium修正」は、これらの一部がMicrosoft側に展開されたものです。
製品ライフサイクル:SQL Server 2016とSharePoint 2016 / 2019
今月時点で重大なライフサイクル変更はないものの、Rapid7は次月以降に控える変更を明示しています。
- SQL Server 2016:2026年7月14日に通常の拡張サポートが終了、有償のExtended Security Updates(ESU)フェーズへ移行
- SharePoint Server 2016 / 2019:2026年7月14日に拡張サポート終了、ESUは提供されないため、フルサポートされる自社運用の選択肢はSharePoint Subscription Editionのみ
SharePoint Serverのオンプレミス継続運用組織にとっては、Subscription Editionへの移行か、SharePoint Online等への移行判断が来月までに必要です。
推奨対処と影響評価
本月分のPatch Tuesdayへの対処方針として、Microsoftアドバイザリ・Rapid7・JPCERT/CCの記述から実務上の優先順位をまとめます。
- 今月新規修正の3件の公開済みゼロデイ(CVE-2026-49160 / CVE-2026-50507 / CVE-2026-45586)への対処を最優先。いずれもExploitation More Likely評価で、Patch Tuesday前から技術詳細が公開されていた
- HTTP.sys RCE(CVE-2026-47291、CVSS 9.8)は同じくExploitation More Likely、IISをインターネット公開している組織は併せて適用
- Microsoft IISでHTTP/2を有効化している組織は、別のHTTP/2 Bomb(CVE-2026-49975)が現時点で未パッチであるため、HTTP/2の一時無効化を緩和策として検討
- Exchange Serverを自社運用する組織は、5月公表のCVE-2026-42897が新たに悪用確認されたことを踏まえ、5月分の更新適用状況を再確認
- BitLocker関連でTPM-onlyモードを使用している組織は、CVE-2026-45585(YellowKey)の緩和策としてTPM+PINモードへの切り替えも検討
- PowerToysを業務端末に展開している組織は、v0.99.1以降への更新を確認
- Adobe Acrobat / Readerの利用組織はAPSB26-63対応を実施
- Nightmare Eclipse氏が7月14日に追加ゼロデイドロップを予告しており、来月のPatch Tuesdayはさらに複雑な対応が想定される
今月のPatch Tuesdayは単なるパッチ件数の更新にとどまらず、AI支援によるCVE発見の構造的変化、研究者とベンダーの関係性の不安定化、日本企業のExchange運用への直接影響という3つの軸が同時に動いた点が特徴です。Tenable Narang氏の指摘するとおり、200件規模のPatch Tuesdayが今後の標準になる可能性は否定できず、組織のパッチ管理プロセスとリスク評価枠組みの見直しが必要な局面に入っています。AI支援開発ツール経由のサプライチェーン攻撃(Miasma続報)も並行進行中であり、開発環境のセキュリティ態勢も合わせて点検対象です。
本ブログでは引き続き、来月7月14日のPatch Tuesdayおよび Nightmare Eclipse氏予告のゼロデイドロップ動向を継続観測します。
主な参考情報
- Microsoft Security Update Guide(2026年6月): https://msrc.microsoft.com/update-guide/releaseNote/2026-Jun
- Microsoft日本語ブログ「2026 年 6 月のセキュリティ更新プログラム (月例)」(2026年6月10日)
- Rapid7 Blog「Patch Tuesday – June 2026」(Adam Barnett、2026年6月9日)
- Krebs on Security「A Record-Breaking Patch Tuesday for June 2026」(2026年6月9日)
- JPCERT/CC「2026年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」(JPCERT-AT-2026-0017、2026年6月10日)
- JPCERT/CC「Adobe AcrobatおよびReaderの脆弱性(APSB26-63)に関する注意喚起」(JPCERT-AT-2026-0018、2026年6月10日)
- Calif.io Blog「Codex Discovered a Hidden HTTP/2 Bomb」(Quang Luong)
- Help Net Security「Microsoft provides mitigation for “YellowKey” BitLocker bypass flaw (CVE-2026-45585)」
- BleepingComputer「Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws」(2026年6月9日)
- The Hacker News「Microsoft Defender RoguePlanet Zero-Day Grants SYSTEM Access on Updated Windows」(2026年6月10日)
- The Hacker News「Miasma Worm Hits 73 Microsoft GitHub Repositories in Major Supply Chain Attack」(2026年6月)
- StepSecurity Blog「Miasma Worm Hits Microsoft Again」(Ashish Kurmi、2026年6月5日)
- Computer Weekly「Microsoft smashes record for biggest ever Patch Tuesday update」
コメント