マイクロソフトは、2026年7月14日(米国時間)、2026年7月のセキュリティ更新プログラムを公開した。該当するソフトウェアはCVEベースで622件である。以下のMicrosoft CVEで構成されている。

製品ファミリ 個別の更新プログラム 解決された脆弱性 製品/バージョンごとの更新プログラム 更新プログラムの種類
Windows 35 1 416 累積
Office 28 1+ 82 累積(2016を除く)
SharePoint Server 3 1 17 累積
SQL Server 8 1 8 累積
Exchange Server 4 1 5 累積
開発部門 36 1 27 累積
Microsoft Edge 1 1 46 自動
Azure 13 11 1 個別
Defender 2 1 5 自動
その他 4 1 5 個別

Microsoftでは、重要なCVEとして以下の3つを上げている。

  • CVE-2026-50661:Windows BitLockerセキュリティ機能バイパスの脆弱性(一般的に知られている)
  • CVE-2026-56155:Active Directoryフェデレーションサービスの特権の昇格の脆弱性(悪用の事実を確認済み)
  • CVE-2026-56155:Microsoft SharePoint Serverの特権の昇格の脆弱性(悪用の事実を確認済み)
  • 図1 2026年7月のセキュリティ更新プログラム(月例パッチ)が公開された

    図1 2026年7月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。
    • CVE-2026-56164 Microsoft SharePoint Serverの特権の昇格の脆弱性
    • CVE-2026-56155 Active Directoryフェデレーションサービスの特権の昇格の脆弱性
  • 2026年7月の更新プログラムを適用すると、CVE-2026-20833 Windows Kerberosの情報漏えいの脆弱性に対処するためのEnforcementフェーズが適用され、レジストリサブキーRC4DefaultDisablementPhaseのサポートが削除される。詳細は、CVE-2026-20833およびCVE-2026-20833に関連するサービスアカウントチケット発行の変更に対する RC4のKerberos KDC使用量を管理する方法を参照してほしい。
  • Microsoft Exchange の更新プログラムを展開する際は、Microsoft ExchangeチームブログReleased: July 2026 Exchange Server Security Updatesも併せて参照してほしい。
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2026年7月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v26H1、v25H2、v24H2、v23H2

緊急(リモートでコードの実行が可能)

  • v26H1:KB5101649
  • v25H2、v24H2:KB5101650
  • v23H2:KB5099414

Windows 11 v25H2とv24H2の更新プログラムであるKB5101650で対処される主な問題は以下の通り。

[セキュアブート]
この更新プログラムで、信頼性の高いデバイスターゲティングデータが追加され、新しいセキュアブート証明書を自動的に受信できるデバイスの範囲が拡大される。Windows Updateによる証明書の展開は引き続き行われる。

[アプリ(既知の問題)]
修正済み:この更新プログラムは、OLEオートメーションを使用してMicrosoft Officeと連携する一部のサードパーティ製アプリに影響する問題を解決する。2026年6月のセキュリティ更新プログラム(KB5094126)をインストールした後、これらのアプリがOfficeを起動できない、またはドキュメントを開けない場合がある。

[入力]
この更新プログラムは、ホットキーの登録解除とクリーンアップの動作を変更する。まれに、以前のホットキーのライフサイクル動作に依存する一部の組み込みWindowsエクスペリエンスが、特定のキーボードショートカットに一時的に応答しなくなる場合がある。この問題は通常、影響を受けるアプリを再起動することで解決できる。問題が解決しない場合は、フィードバックハブから報告してほしい。

[ネットワーク]
この更新プログラムでは、TDIトランスポートの登録要件を強制するセキュリティ強化の変更が導入される。その結果、未登録のサードパーティ製TDIトランスポートを介してソケットを使用するアプリケーションは、この更新プログラムのインストール後に動作しなくなる場合がある。登録済みのTDIトランスポートは影響を受けない。詳細については、「2026年7月14日以降にリリースされたWindowsセキュリティ更新プログラムのインストール後に、サードパーティ製TDIトランスポートが動作しなくなる可能性がある」を参照してほしい。

[ごみ箱(既知の問題)]
修正済み:この更新プログラムでは、ファイルを完全に削除する際に、確認ダイアログに元のファイル名ではなく内部のごみ箱ファイル名が表示される場合があるという問題に対処している。この問題は、2026年6月のセキュリティ更新プログラム(KB5094126)のインストール後に発生する可能性がある。

[セキュリティ]
この更新プログラムでは、Windowsのcurlツールがバージョン8.21.0にアップグレードされ、デバイスを保護するためのセキュリティ強化が含まれている。

[リモートデスクトップ(RDP)セキュリティ]
信頼できるRDP発行者向けにSHA-2証明書サムプリントのサポートが追加された。SHA-1のサポートは下位互換性のためにのみ維持され、将来的に削除される予定である。グループポリシーを使用してRDPファイルのセキュリティを管理するための新しいガイダンスが提供されており、ユーザーが開くことができる.rdpファイルを制御することで、組織がフィッシングのリスクを軽減するのに役立つ。混乱を避けるため、IT管理者はできるだけ早くSHA-256サムプリントまたはより強力なアルゴリズムに移行することを推奨する。

Windows Server 2025(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • KB5099536

Windows Server 2022(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2022:KB5099540

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2019:KB5099538
  • Windows Server 2016:KB5099535

Microsoft Office

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。

Microsoft SharePoint

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

Microsoft Exchange

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/exchange 、Released: July 2026 Exchange Server Security Updatesを参照してほしい。

Microsoft SQL Server

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/SQL を参照してほしい。

Microsoft Dynamics 365

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

Microsoft Azure

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。

Microsoft .NET

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。

Microsoft Visual Studio

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。

Microsoft Defender

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/defender を参照してほしい。