Microsoftは2026年7月14日(米国時間)、「2026 年 7 月のセキュリティ更新プログラム (月例)」において、複数の製品のセキュリティ脆弱性に対処する2026年7月のセキュリティ更新プログラムをリリースしたと伝えた。

修正された脆弱性は622件に上り、深刻度が緊急と評価される脆弱性も多数含まれている。これらセキュリティ脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受ける危険性がある。

  • Windows Updateの設定画面。Microsoftは2026年7月の月例セキュリティ更新プログラムを公開した 出典:Microsoft

    Windows Updateの設定画面。Microsoftは2026年7月の月例セキュリティ更新プログラムを公開した 出典:Microsoft

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

多数の重大な脆弱性

7月のセキュリティ更新プログラムには多数の重大な脆弱性の修正が含まれている。今回はSharePoint ServerのCVSS 9.8の脆弱性2件や、悪用が確認されたAD FSの脆弱性など、企業で広く利用される製品の重大な問題が含まれる。

その中でMicrosoftが注目している脆弱性は次のとおり。

  • CVE-2026-50661 - BitLockerの保護メカニズムに脆弱性。権限のない攻撃者は、物理的な攻撃によってセキュリティ機能を回避できる可能性がある(CVSSスコア: 6.1)
  • CVE-2026-56155 - Active Directory Federation Services(AD FS)に不十分なアクセス制御の脆弱性。認証されたローカルの攻撃者は、権限を昇格できる可能性がある(CVSSスコア: 7.8)
  • CVE-2026-56164 - Microsoft Office SharePoint Serverに認証欠落の脆弱性。認証されていないリモートの攻撃者は、権限を昇格できる可能性がある(CVSSスコア: 9.8)
  • CVE-2026-58644 - Microsoft Office SharePoint Serverに信頼できないデータの逆シリアライズの脆弱性。認証されていないリモートの攻撃者は、コードを実行できる可能性がある(CVSSスコア: 9.8)

国内でも注意喚起が行われている。日本のJPCERTコーディネーションセンター(JPCERT/CC)も、更新プログラムに関する注意喚起を公開している。特にSharePoint Serverの脆弱性については、認証を回避して任意のコードが実行される恐れがあることから、利用組織に対して速やかな更新プログラムの適用を呼びかけている。

直ちにアップデートを

前述のCVE-2026-56155およびCVE-2026-56164については、更新プログラムの公開以前に悪用が確認されており注意が必要。Microsoftはユーザーおよび管理者に対し、影響を受ける製品を確認した上で、速やかな更新プログラムの適用を推奨している。