デイリー

マイクロソフトが過去最大規模の脆弱性パッチを公開 | 2026年7月16日

2026年7月16日のセキュリティニュースをお届けします。

再生時間: 14:41 ファイルサイズ: 13.4 MB MP3をダウンロード

トークスクリプト

東京セキュリティブリーフィング 2026年07月16日(木曜日)

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年7月16日、木曜日です。

昨日も世界中から様々なセキュリティインシデントが報告されました。本日も最新の脅威情報をお伝えしていきたいと思いますので、どうぞ最後までお付き合いください。

ヘッドライン

それでは本日の主要ニュースをざっとご紹介します。

まず最大の話題は、マイクロソフトが過去最大規模のセキュリティアップデートを公開したことです。600件を超える脆弱性に対応し、その中には実際に攻撃で悪用されているゼロデイも含まれています。

次に、SonicWallのセキュリティアプライアンスに深刻なゼロデイ脆弱性が発見され、既に実環境で悪用されていることが確認されました。

そして、クロームブラウザの拡張機能に関わる脆弱性が複数報告されており、Googleやマイクロソフトが対応を迫られています。

さらに、ロシアを拠点とするランサムウェア支援企業が米国によって起訴されたニュースや、中国系の攻撃グループが国家レベルのハッキングツールを悪用している事例も報告されています。

それでは、これらのニュースの詳細を解説していきましょう。

詳細解説

マイクロソフトが過去最大規模の脆弱性パッチを公開

まず最大の話題から入ります。マイクロソフトが2026年7月のパッチチューズデーで、過去最大となる600件以上の脆弱性に対応しました。

記事によると、対応した脆弱性の数は複数の報告で569件から622件となっており、いずれにしても前月の約3倍という空前の規模となっています。このうち、Windows関連が416件、Office関連が164件という内訳です。

特に注目すべき点は、これらの脆弱性の中に実際の攻撃で既に悪用されているゼロデイが2件含まれていることです。1つ目は「CVE-2026-56155」で、Active Directoryフェデレーションサービス、いわゆるAD FSの権限昇格脆弱性です。2つ目は「CVE-2026-56164」で、SharePoint Serverの脆弱性です。どちらも認証関連の重大な問題で、攻撃者が特定の条件下で管理者権限を奪取できる危険性があります。

さらに、既に公表されている脆弱性「CVE-2026-50661」はBitLockerのバイパス脆弱性で、これも対応の優先度が高いものです。

今回のパッチで「緊急」と評価された脆弱性は60件以上に達しています。通常のパッチチューズデーでは数十件程度の脆弱性対応が一般的ですが、今月は件数だけでなく重大度も非常に高いのが特徴です。

この大量のパッチ公開の背景には、マイクロソフトが導入したAI支援の脆弱性検出システムがあると指摘されています。AIの助力により、従来は見逃されていた脆弱性がより多く発見されるようになったということです。ただし、専門家は注意を促しており、脆弱性の件数が多いからといって、組織全体のリスクが同じ割合で増加するわけではないとしています。

実務的な観点からは、全てのパッチを同じ優先度で適用するのは現実的ではないため、実際に悪用されているゼロデイや、組織の重要なシステムに関連した脆弱性から優先的に対応する戦略が重要になります。

SonicWallのセキュリティアプライアンスに深刻なゼロデイが悪用中

次に、SonicWall社のセキュリティアプライアンスに関する緊急情報です。

SonicWall SMA1000シリーズに2つの深刻なゼロデイ脆弱性が発見され、既に実環境で悪用されていることが確認されました。

1つ目の脆弱性は「CVE-2026-15409」で、サーバーサイドリクエストフォージェリ、いわゆるSSRF脆弱性です。これは認証が不要で悪用でき、CVSS 10.0という最高のスコアが付与されています。攻撃者がこの脆弱性を悪用すると、インターネットに接続されているSonicWallアプライアンスから内部ネットワークのリソースにアクセスでき、さらに横展開の足がかりとなる危険があります。

2つ目の脆弱性は「CVE-2026-15410」で、これはコードインジェクション脆弱性です。こちらは認証が必要ですが、管理コンソールへのアクセスを奪取されたような場合に、任意のコードを実行されてしまう危険があります。CVSS 7.2と評価されています。

重要なポイントとしては、この2つの脆弱性が複数の実際のインシデントで悪用が確認されているという点です。つまり、理論上の脅威ではなく、既に攻撃者が実際に悪用しているということです。

SonicWallは修正バージョンを公開済みで、SMA1000シリーズではv12.4.3-03453とv12.5.0-02835以降へのアップグレードが推奨されています。組織がSonicWallのSMA1000を利用している場合は、可能な限り急速にパッチを適用する必要があります。

また、既に侵害された可能性があるシステムについては、再イメージ化とパスワードの変更が強く推奨されています。

ブラウザ拡張機能の脆弱性相次ぐ

ブラウザ拡張機能に関する深刻な脆弱性が複数報告されています。

まず、Googleの「Claude for Chrome」拡張機能に2件の脆弱性が発見されました。バージョン1.0.80に存在するこれらの脆弱性により、悪意のある別の拡張機能が被害者のGmail、Google Docs、Googleカレンダーのデータを読み取る危険があります。

技術的には、「event.isTrusted」という重要なセキュリティチェックが欠落していたり、パーミッション要求をスキップできるパラメータが存在していたりするとのことです。デフォルトの「確認モード」では使用者に通知される可能性がありますが、「実行モード」を設定している場合は、ユーザーが気づかないうちに情報が読み取られるリスクがあります。CVSS スコアは7.7から9.6に達する重大度の問題です。

さらに問題なのは、この脆弱性が5月に既に報告されているにもかかわらず、7月現在でもまだ修正されていないという点です。

別の大きなニュースとしては、HTTPヘッダを編集できることで知られた「ModHeader」という拡張機能が、Googleとマイクロソフトのストアから削除されました。この拡張機能は約160万件のインストール数を持つ人気の拡張機能だったのですが、実は訪問したウェブドメインやデバイスの情報を外部のサーバーに毎日送信する隠蔽されたデータ収集機能を持っていたのです。既にインストールされているデバイスは継続的にリスクにさらされている状態です。

ランサムウェア支援企業の取り締まりと対策

米国司法省とロシアを標的とした取り組みが進展しています。

米国検察当局は、ロシアを拠点とする防弾ホスティング企業「Media Land」と「ML.Cloud」の運営者3名を起訴しました。被告は「Aleksander Volosovik」「Yulia Pankova」「Kirill Zatolokin」の3人です。

これらのホスティング企業は、複数のランサムウェア集団がその上で運用する際に支援を行っていたとされており、米国内の21の州で少なくとも42の組織に対して、総額6,200万ドル超の被害をもたらしたとされています。悪用したランサムウェアグループには「Lockbit」「BlackSuit」「Play」などの著名な集団が含まれています。

また、米国財務省はロシアのVPN企業「1VPN Services」に制裁を科しており、同企業も複数のランサムウェアグループの活動を支援していました。

こうした取り締まり努力の一方で、実務的なセキュリティ対策としての課題も浮き彫りになっています。ランサムウェア攻撃の侵入経路について最新の分析では、79%が漏洩した認証情報や正規のログイン情報を悪用して初期侵入しているという報告があります。これは従来の脆弱性悪用による侵入という手法から、認証情報に対する攻撃へとシフトしていることを示しており、多要素認証の導入や認証情報の厳密な管理がこれまで以上に重要になっているのです。

中国系攻撃集団が国家レベルのツールを悪用

新たなセキュリティ脅威として、中国系と考えられるハッカー集団が高度なツールを悪用して政府機関を標的にしているキャンペーンが確認されました。

「TencShell」という名称のこのキャンペーンでは、台湾、アフガニスタン、タイの政府機関が標的とされています。攻撃者の活動基盤は香港のサーバー131台に及んでいます。

特筆すべき点は、このキャンペーンで「Claude Code」と「DeepSeek」という2つのAIツールが悪用されていることです。Claude Codeはコマンド実行とセッション維持を担当し、DeepSeekは推論エンジンとしてエクスプロイト改変やスクリプト生成を行っているとされています。

攻撃の初期入口となったのは、2023年8月にコンテンツ企業の従業員が感染させられたインフォスティーラーマルウェアで、そこで窃取された認証情報が後々の侵入に利用された可能性があります。この点は、セキュリティはどの一時点での対策だけでなく、時間経過の中で継続的に維持される必要があることを示しています。

その他の重要な脆弱性と対策

テキストエディタの「Notepad++」がセキュリティアップデートv8.9.7をリリースしました。このバージョンは5件の脆弱性に対応しており、特にスタックバッファオーバーフローとZip Slip脆弱性が修正されています。Zip Slip脆弱性はアップデータープロセスに関連するもので、企業環境で自動パッチ適用を行っている場合は注意が必要です。

Googleはブラウザ「Chrome」の最新版で15件のセキュリティ脆弱性に対応しました。このうち、「Ozone」プラットフォームレイヤーの解放後使用脆弱性2件(CVE-2026-15764、CVE-2026-15765)が最も緊急度が高いと分類されています。

FortinetはFortiOSやFortiSandboxなど複数製品で7件の脆弱性修正を公開しており、FortiSandboxの脆弱性CVE-2026-59835は未認証でVNCサーバーへのアクセスが可能になるという深刻な問題です。

AI導入によるセキュリティガバナンスの課題

企業がAIセキュリティツールを導入する際の問題も報告されています。SANS Instituteのレポートでは、セキュリティ実務担当者の40%が正式なAI導入ポリシーの不在を報告しており、60%以上がAIモデルの使用場所を把握できていないとのことです。

さらに問題なのは、セキュリティリーダー層と現場の実務者の間で、AIリスク管理に関する認識に14ポイントのギャップが存在するという点です。これは経営層とセキュリティチームの間で、AIに関するリスク認識がズレていることを示唆しており、適切なガバナンス体制の構築が急務であることを示しています。

このような課題に対応するため、ホワイトハウスは「Gold Eagle」という脆弱性情報の一元化・優先順位付けイニシアチブを発表しました。これはAIを活用して脆弱性を自動発見し、連邦政府機関、重要インフラ企業、オープンソース開発者コミュニティと情報を共有するというものです。2027年1月1日に施行予定のイリノイ州「SB315」などの州法による規制も、AI安全対策の義務化を進める動きとなっています。

ソーシャルエンジニアリング攻撃の多様化

FaceTimeを悪用した詐欺が報告されています。攻撃者がApple SupportやGoogleなどを装うFaceTime着信を行い、ユーザーにアカウント認証情報やワンタイム認証コードを開示させるというものです。さらに悪質なバリエーションでは、リモートアクセスアプリのインストール誘導と未パッチのiOSエクスプロイトを組み合わせて、デバイス全体の乗っ取りに至る場合もあります。

また、LastPassとBitwardenのユーザーを狙うフィッシングキャンペーンでは、正規企業の通知に見せかけたメールがDocuSignになりすましたランディングページへ誘導しており、BleepingComputerの調査により、Bitwardenユーザーも同様の手口で標的にされていることが判明しています。

医療業界におけるセキュリティ課題

ヘルスケア業界のセキュリティに関するレポートでは、医療機関がリスクの6%しか対処できていない実態が明らかにされています。特に問題なのはサプライチェーンリスク発見が6倍増加し、ID・アクセス制御関連脆弱性は4倍増加しているにもかかわらず、多くの医療機関がサードパーティリスク対処プログラムを保有していないということです。

これは医療機関が自組織だけでなく、供給業者や連携企業を含めたセキュリティ管理が遅れていることを意味しており、医療データという極めて機密性の高い情報を扱う業種として早急な対応が求められています。

クロージング

本日お伝えしたセキュリティニュースをまとめますと、マイクロソフトとSonicWallの脆弱性が直近の大きな脅威であり、ブラウザ拡張機能のセキュリティ問題も身近な危険です。

ランサムウェア対策については認証情報管理がこれまで以上に重要になっており、AIツール悪用による政府機関への攻撃も新しい脅威として認識する必要があります。

気になるニュースがあれば、ぜひ詳細をご確認ください。

本日のセキュリティニュースはここまでです。東京セキュリティブリーフィングでした。また次回お会いしましょう。