Microsoftの定例セキュリティ更新が、過去最大規模で届きました。件数の多さ以上に、攻撃利用が確認されたDefenderの脆弱性と、公開済みのゼロデイ3件が運用判断の焦点です。
この記事では、2026年6月のPatch Tuesdayで何が修正されたか、どのCVEを先に当てるべきかを整理します。
この記事でわかること
- 6月の更新規模と、過去記録を上回った理由
- ゼロデイ4件(CVE-2026-41091ほか)の内容と優先度
- HTTP.sysやDHCP Clientなど、Critical評価の主要CVE
- AI活用がパッチ件数増加に与えている影響
過去最多規模のセキュリティ更新が届いた
2026年6月10日、Microsoftは月例のPatch Tuesdayとして大規模なセキュリティ更新を公開しました。Microsoft自身の集計では198件のCVE(Common Vulnerabilities and Exposures、公開された脆弱性の識別番号)を修正し、そのうち32件がCritical、166件がImportantに分類されています(参考)。
BleepingComputerの集計では同日リリース分だけで200件、Criticalは33件です。いずれにせよ、2025年10月の167件を上回る過去最多クラスの更新となりました。2026年上半期だけを見ても、三位数規模のPatch Tuesdayが続いており、パッチ管理チームの負荷は年々高まっています。
件数の膨らみは一時的な例外ではありません。TenableのSatnam Narang氏は、AI支援による脆弱性発見の普及が件数増加の背景にあると指摘しています(参考)。Microsoftも先月のブログで、社内エンジニアとセキュリティコミュニティの双方がAIツールを活用してバグを見つける動きが広がっていると述べています(参考)。
ゼロデイ4件が今月の焦点
ゼロデイとは、公式パッチが出る前に攻撃に使われたり、詳細が公開されたりした脆弱性を指します。6月は4件が該当し、運用面ではここから優先順位を付けるのが現実的です。
CVE-2026-41091:Microsoft Defenderの権限昇格(最優先)
4件のうち唯一、野外での攻撃利用が確認されています。認証済みのローカル攻撃者が権限を昇格できる問題で、CVSS(Common Vulnerability Scoring System、深刻度を数値化する指標)は7.8です。
Defenderは通常、マルウェア定義やエンジンを自動更新するため、多くの環境では既に保護済みの可能性があります。一方、セキュリティインテリジェンスの配信を厳しく制御する閉域網や、自動更新を止めている端末は手動確認が必要です。修正にはMicrosoft Malware Protection Engine 1.1.26040.8以降が必要とされています(参考)。
なお、このCVEは5月19日の緊急更新でも修正済みですが、6月の正式なPatch Tuesdayでも改めて位置づけられています。
CVE-2026-49160:HTTP/2 Bombによるサービス停止
HTTP.sys(WindowsのWebサーバー基盤コンポーネント)のHTTP/2処理に起因するサービス拒否(DoS)脆弱性です。CVSS 7.5、認証不要のリモート攻撃が可能です。
攻撃手法は「HTTP/2 Bomb」と呼ばれ、わずかなデータでサーバーのメモリを大量消費させます。IIS(Internet Information Services)などHTTP.sys依存のサービスを公開している組織は、可用性リスクとして扱うべきです。Microsoftは緩和策として、HTTP/2およびHTTP/3リクエストのヘッダー数を制限するMaxHeadersCountレジストリ設定を追加し、KB5102602で手順を公開しています(参考)。
Krebs on Securityの報道では、この脆弱性の報告にOpenAIのCodexが名を連ねています(参考)。
CVE-2026-50507:BitLockerの保護回避(YellowKey)
BitLocker(Windowsのディスク暗号化機能)を物理アクセスで迂回できる問題です。CVSS 6.8で、攻撃には端末への物理接触が必要です。紛失・盗難端末のデータ保護にBitLockerを使う企業にとって、影響は大きい類の脆弱性です。
セキュリティ研究者Nightmare Eclipseが公開した「YellowKey」に対応する修正と見られています。TPMのみで保護していたWindows 11やWindows Server 2022/2025では特に注意が必要で、MicrosoftはTPM+PIN認証への切り替えを暫定対策として案内していました(参考)。
CVE-2026-45586:CTFMONの権限昇格(GreenPlasma)
Windows Collaborative Translation Framework(別名CTFMON、テキスト入力支援コンポーネント)の権限昇格脆弱性です。CVSS 7.8で、ローカル認証済み攻撃者がSYSTEM権限を取得できます。初期侵入後の横展開に使われるタイプの欠陥です。
Nightmare Eclipseが公開した「GreenPlasma」への対応とされています(参考)。
Critical評価のRCEはネットワーク境界から確認
ゼロデイ以外でも、Criticalかつリモートコード実行(RCE)のCVEは早急な適用対象です。
CVE-2026-47291(HTTP.sys RCE、CVSS 9.8)は、認証不要・ユーザー操作不要でリモートからの完全侵害が可能な類型です。CohesityのAmol Sarwate氏は、ワーム化の可能性があるため最優先と評価しています(参考)。Absolute Securityの分析でも「Exploitation More Likely(悪用の可能性が高い)」と分類されています(参考)。
CVE-2026-44815(Windows DHCP Client RCE、CVSS 9.8)も同様に深刻です。DHCP Clientはほぼ全Windows端末で動作するため、攻撃対象の広さが問題になります。
そのほか、Remote Desktop Client、Windows Kernel、Hyper-V、Office/Outlook、Exchange Server、Azure Kubernetes Serviceなど、広範な製品群にCritical修正が含まれています。Office系ではプレビューペイン経由の攻撃が可能なRCEも報告されており、メール閲覧環境の更新も遅らせない方がよいでしょう。
管理者が取るべき対応手順
件数が多い月ほど、全CVEを同時に当てるのは現実的ではありません。次の順序が実務的です。
- 攻撃利用確認済み:CVE-2026-41091(Defenderエンジン版の確認)
- インターネット公開のHTTP.sys/IIS:CVE-2026-47291とCVE-2026-49160
- 全Windows端末:CVE-2026-44815(DHCP Client)ほかCriticalのOS更新
- BitLocker利用端末:CVE-2026-50507と、TPM+PIN設定の見直し
- 残りのImportant/Critical:業務影響と公開状況に応じて段階適用
WSUSやIntune、Configuration Managerなど、既存の配信基盤でテスト環境への先行適用を挟むのが定石です。今月は権限昇格系が65件と多く、単体では目立たなくても侵入後の踏み台になり得ます。
件数増加は「当たり前」になりつつある
200件規模のPatch Tuesdayは、今後も繰り返し起きる公算が高いです。ブラウザ側だけでも、Microsoftは今月360件のChromium関連CVEを修正しており、Security Update Guideの一覧からは除外されています(参考)。Patch Tuesdayの数字だけを見ても、実際の修正対象はさらに広いと理解しておく必要があります。
AIが脆弱性調査を加速させる一方、攻撃側も同様のツールを使う時代が来ています。管理者に求められるのは、件数に圧倒されることなく、ゼロデイとCritical RCEから順にリスクを下げる運用です。6月の更新は、まさにその優先順位づけを見直す好機になります。