Microsoft過去最大級のパッチチューズデー206件の脆弱性修正 | 2026年6月11日

東京セキュリティブリーフィング 2026年06月11日（木曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本番組では、セキュリティの最新トレンドとリスク情報をお届けしています。本日は2026年06月11日、木曜日の配信です。昨日公開されたセキュリティニュースから、特に注目すべき情報をピックアップしてお送りします。

ヘッドライン

それでは本日のヘッドラインです。Microsoftが6月のパッチチューズデーで過去最大規模となる200件以上の脆弱性に対応しました。同じくGoogleも緊急のChromeセキュリティアップデートをリリースしています。GitHubではMicrosoftの公式リポジトリが悪意あるコードに侵害される事件が発生し、重要なAzureコンポーネントが影響を受けています。さらに、AIを悪用したサイバー攻撃の本格化や、複数の重大な脆弱性が新たに報告されるなど、セキュリティ環境が急速に悪化しています。詳しくは後ほど解説いたします。

詳細解説

Microsoft過去最大級のパッチチューズデー206件の脆弱性修正

まず最初にお伝えするのは、Microsoftの6月パッチチューズデーです。同社が200件以上、より詳細には206件のセキュリティ脆弱性に対応しました。これは同社の歴史において過去最大規模のリリースとなっています。修正対象には32件のクリティカルレベルの脆弱性が含まれており、さらに重要な点として、公開済みのゼロデイ脆弱性3件も含まれています。

修正される主な脆弱性の種類としては、リモートコード実行、権限昇格、セキュリティ機能のバイパスが主体です。報告書によると、これらの脆弱性の中には「悪用される可能性が高い」と判定された13件が含まれています。Windows 11、Windows 10、Hyper-V、Kerberos、Exchange Serverなど、Microsoftの広範なプロダクト群が今回の更新の対象となっています。

Windows 11に関しては、25H2向けにKB5094126の累積アップデートがリリースされており、新機能として共有オーディオ機能の追加やタスクマネージャーのNPU使用状況表示機能の強化が含まれています。Windows 10についても、KB5094127の拡張セキュリティアップデートで200件超のセキュリティ脆弱性に対応しており、セキュアブート証明書の更新機能も追加されています。

このように大規模なパッチリリースが発生した背景には、AIを活用した脆弱性検出技術の進化があります。脆弱性発見の効率性が向上することで、月次パッチで修正される脆弱性の数が記録的に増えるというのは、2026年の新しい標準になりつつあるということです。実際、2018年の年間脆弱性修正数を、2026年6月時点で既に超過してしまっています。

GitHubのMicrosoftリポジトリ侵害とMiasmaワーム

次に、深刻なサプライチェーン攻撃についてお伝えします。GitHubがMicrosoftの73個の公式リポジトリに悪意あるコードが埋め込まれている事態を発見し、わずか105秒以内にこれらのリポジトリを自動削除しました。

これはMiasmaと呼ばれるサプライチェーン攻撃ツールキットによるもので、攻撃者の目的はパスワードとトークンの窃取でした。影響を受けたのはAzure Functions、Durable Taskファミリーなど、Microsoftの中でも特に重要なインフラストラクチャを操作するツールです。また、GitHub Actionsのワークフロー、AIコーディングツールの設定ファイルなども攻撃の対象となっていました。

重要なポイントは、このMiasmaワーム自体が6月8日に複数のGitHubリポジトリで完全にオープンソース化されたという点です。完全なサプライチェーン攻撃ツールキットが公開されたということで、PyPI、npm、RubyGemsなどのパッケージレジストリを標的とした二次的な攻撃も懸念されます。

これについて、セキュリティ研究者らは5月に公開されたPyPI上のdurabletaskパッケージの汚染事件との関連性を示唆しており、連続する供給チェーン侵害キャンペーンの一部である可能性が指摘されています。

Google Chrome V8ゼロデイ脆弱性と緊急アップデート

Google Chromeについても、重大なセキュリティ更新がリリースされました。V8 JavaScriptエンジンに存在する境界外メモリアクセス脆弱性CVE-2026-11645が、既に実攻撃で悪用されていることが確認されています。

このアップデートはChrome 149.0.7827.102および149.0.7827.103で74件のセキュリティ脆弱性に対応するもので、V8エンジン関連の脆弱性が大多数を占めています。ドライブバイダウンロード攻撃や悪意のあるウェブサイトを経由した感染リスクが高く、即座のアップデートが推奨されています。

さらに注目すべきは、CISAがこのCVE-2026-11645を悪用確認脆弱性リストに追加し、連邦政府機関に対して2026年6月23日までの修正義務を課したという点です。これにより、政府調達製品やFIPSなどの厳格な基準が適用される組織では、特に優先度の高い脆弱性となります。

Ivanti Sentryの重大な脆弱性

Ivantiが提供するIvanti Sentryについて、2件の重大な脆弱性が報告されています。CVE-2026-10520はOSコマンドインジェクション脆弱性で、CVSS 10.0の最高スコアが付与されており、認証なしでroot権限でのリモートコード実行が可能です。もう一つのCVE-2026-10523はCVSS 9.9で、認証メカニズムのバイパスを引き起こします。

影響を受けるのはバージョン10.5.1、10.6.1、10.7.0以前で、修正バージョンは10.5.2、10.6.2、10.7.1です。セキュリティ研究者が既に技術詳細を公開しており、攻撃コードの開発リスクが極めて高い状況にあります。

Check Point VPNの認証バイパス脆弱性

Check Pointが警告している脆弱性CVE-2026-50751は、IKEv1環境のVPN認証メカニズムを完全にバイパスする可能性があります。CVSS 10.0の評価を受けており、5月初旬から悪用が開始されていることが確認されています。

特に注目すべきは、Qilinというランサムウェアグループがこの脆弱性を積極的に悪用しているという点です。世界的に数十の組織が既に標的となっており、セキュリティベンダーの報告では、Palo Alto、F5、Fortinetの製品も同様の脆弱性に悪用される可能性があると指摘されています。また、関連脆弱性CVE-2026-50752も報告されていますが、こちらはまだ悪用が確認されていません。

OpenSSL深刻脆弱性CVE-2026-45447

OpenSSLに存在するPKCS#7署名検証のuse-after-freeバグ、CVE-2026-45447がCVSS 10.0の最高スコアで修正されています。このバグはリモートコード実行につながる可能性があり、18件の脆弱性の中で最高深刻度と判定されています。

特に興味深いのは、この脆弱性がカリフォルニアの研究者によってClaudeというAIツールで発見されたという点です。これは、AIが従来人間では見つけ難い深刻な脆弱性を効率的に発見できるようになったことを示しており、セキュリティ研究分野への影響が大きいことを示しています。

SAP重大脆弱性

SAPが15件の脆弱性修正を発表しており、そのうち4件がCVSS 9以上の重大レベルです。CVE-2026-44748はCVSS 9.9で、NetWeaver環境でのSAML認証バイパスを引き起こします。CVE-2026-27671はCVSS 9.8で、メモリ破壊脆弱性で認証なしでの悪用が可能です。SAP Commerce Cloudも影響を受けており、商用環境への即座の対応が急務となっています。

WinRAR脆弱性とロシア系攻撃者

WinRARの脆弱性CVE-2025-8088が、Shadow-Earth-066とEarth Dahuというロシア系と推定される攻撃グループに悪用されています。ウクライナの軍組織および政府組織が標的となっており、情報窃取マルウェア「GiftedCrook」が展開されています。

重要な点として、WinRARの修正パッチは2025年7月にリリースされた後も、攻撃グループがこの脆弱性を継続的に悪用し続けているという状況です。これは、パッチの公開後も古いバージョンを使用し続けている組織が存在することを示しており、特に重要インフラ関連組織への影響が懸念されます。

ServiceNowセキュリティインシデント

ServiceNowが6月5日に重大なセキュリティアップデートを適用しました。未認証ユーザーがAPIエンドポイントを経由して過度なアクセス権限を取得できる脆弱性が原因で、一部顧客でテーブル情報の不正クエリが成功していたことが確認されています。

修正では、認証済みユーザーのみにアクセスを制限する対応が取られており、影響は主にAustraliaプラットフォーム以降またはカスタム設定を行っている顧客に限定されています。CVE番号については現在検討中とのことです。

AI脆弱性発見の加速とセキュリティ体制への影響

複数のニュースに共通するテーマとして、AIが脆弱性発見を大幅に加速させているということが挙げられます。AnthropicのClaudeをはじめとするAIモデルが、従来では見つけ難い深刻な脆弱性を効率的に発見するようになりました。

その一方で、Checkmarxのレポートでは、AIコード生成の普及に伴い、開発者の75%が脆弱なコードを意図的に本番環境に展開しているという懸念すべき傾向が報告されています。企業のCISO の95%がセキュリティ報告の隠蔽に対する圧力を受けており、セキュリティテストがAIコーディング採用の最大ボトルネックになっている状況です。

同時に、UserEvidenceの調査では、97%のチームがAIコーディングツールを採用しているにもかかわらず、完全なガバナンス体制が整備されているのはわずか30%に過ぎないという現実が明らかになっています。GitHub Copilotが83%で採用率トップ、Claude Codeが63%で続いており、セキュリティテストの強化が急務となっています。

その他の重要な脆弱性と脅威

Windows Defenderの脆弱性「RoguePlanet」では、スキャン処理における競合状態を悪用することで、最新パッチが適用されたWindows 10およびWindows 11でもSYSTEM権限のコマンドシェルが取得される危険性があります。複数回の試行で高い成功率が報告されており、実際の悪用が懸念されます。

また、CVE-2026-45586（CTFMONの権限昇格脆弱性）、CVE-2026-50507（BitLocker認証機能欠缺）など、複数の権限昇格脆弱性がWindows 10からWindows 11の広範なバージョンに存在することが確認されています。

北朝鮮の関連ハッカーグループは、「Contagious Interview」と呼ばれる大規模なフィッシングキャンペーンを展開しており、開発者を偽りの就職オファーで標的にしています。LinkedInではなくメールを利用した大規模フィッシングへの転換は、同グループの作戦の産業化を示唆しています。

クロージング

本日は、Microsoftの過去最大規模のパッチリリース、GitHubのMicrosoftリポジトリ侵害、Google ChromeのV8ゼロデイなど、緊急性の高いセキュリティニュースをお伝えしました。AIによる脆弱性発見の加速に伴い、月次パッチの規模が記録的に拡大する一方で、ガバナンス体制の不備やパッチ適用の遅れが深刻な脅威となっています。

皆さんの組織では、これらのパッチが適切に適用されているか、今一度確認していただくことをお勧めします。特にクリティカルレベルの脆弱性は、悪用リスクが極めて高い状況にあります。気になるニュースや詳細な対策方法については、ぜひ各セキュリティベンダーの公式情報をご確認ください。

本日の東京セキュリティブリーフィングは以上です。また次回お会いしましょう。