Microsoftは6月のセキュリティ更新プログラムで、Windows HTTP.sysに存在する重大なリモートコード実行(RCE)の脆弱性「CVE-2026-47291」を修正した。脆弱性の深刻度を示すCVSSスコアは9.8と高く、認証なしにネットワーク経由で悪用される可能性があることから、速やかな更新プログラムの適用が推奨されている。

HTTP.sysとは何か

HTTP.sysは、WindowsのOS内部で動作するHTTP/HTTPS通信処理用のシステムドライバーだ。

WebサーバソフトのIISをはじめ、ネットワーク通信を利用するさまざまなWindowsサービスに対して、通信処理やルーティング、セキュリティ機能を提供している。WindowsにおけるWeb・ネットワーク通信を支える重要なシステムコンポーネントの1つだ

HTTP.sysの脆弱性は何が危険か

Microsoftによると、この脆弱性を悪用された場合、攻撃者は認証を経ることなく、ネットワーク経由で任意のコードを実行できる可能性がある。

脆弱性の深刻度を示すCVSSスコアは10点満点中9.8で、「Critical(重大)」に分類されている。また、Microsoftは悪用可能性評価を「Exploitation More Likely」としており、今後攻撃に利用される可能性が高いとみられている。

攻撃者は細工したネットワークパケットを送信することで脆弱性を悪用できる可能性があり、HTTP.sysを利用するシステムが攻撃対象となる。

HTTP.sysはWindowsのWeb・ネットワーク通信を支える重要なシステムコンポーネントであり、脆弱性が悪用された場合の影響範囲は広いと考えられる。

脆弱性への対処法

Microsoftは2026年6月のセキュリティ更新プログラムでこの脆弱性を修正済みだ。影響を受ける環境では、更新プログラムを速やかに適用することが推奨される。

また、Microsoftは更新プログラムを適用するまでの緩和策も案内している。HTTP.sysで使用される「MaxRequestBytes」レジストリ値を既定値に戻す、または適切な値に設定することでリスクを軽減できるとしている。

ただし、恒久的な対策はセキュリティ更新プログラムの適用であり、管理者は早急に更新状況を確認することが望まれる。