The Hacker Newsは、Microsoftが2026年6月の月例セキュリティ更新で、同社製品に影響する206件の脆弱性を修正したと報じました。39件が「Critical」、167件が「Important」に分類され、公開時点ですでに情報が開示されていた3件のゼロデイ脆弱性も含まれます。Windows端末やサーバーを運用する組織は、対象製品を確認したうえで更新を進める必要があります。
The Hacker News:Microsoft Patches Record 206 Flaws, Including Three Zero-Days and Critical RCE Bugs
この記事のポイント
影響のあるシステム
- Microsoftが2026年6月のセキュリティ更新で修正対象としたWindowsおよび関連製品
- WindowsカーネルのTCP/IP処理を利用するWindowsシステム
- HTTP.sysを使用するWindowsサーバーやIIS環境
- Windows DHCP Clientを利用する端末およびシステム
- BitLockerによるデバイス暗号化を使用しているWindows端末
- HTTP/2またはHTTP/3のリクエストを処理するWindowsサーバー
推奨される対策
- Microsoftの2026年6月セキュリティ更新を確認し、対象となるWindows端末とサーバーへ適用する
- CVSS 9.8のリモートコード実行脆弱性に関連するシステムを優先して更新する
- インターネットまたは社内ネットワークからHTTP.sysへ通信できるサーバーの更新状況を確認する
- DHCPを利用するWindows端末を資産管理台帳と照合し、更新漏れがないか確認する
- BitLockerを使用する端末では、更新に加えて端末への物理的なアクセス管理を見直す
- HTTP/2およびHTTP/3を使用するサーバーでは、更新適用後に「MaxHeadersCount」の設定が必要かを検討する
- 更新後に再起動の要否、適用結果、業務システムへの影響を確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE:公開された脆弱性を識別するために、それぞれの問題へ付与される共通の識別番号です。
- CVSS:脆弱性の技術的な深刻度を数値で表す評価方式です。一般に数値が高いほど深刻度も高くなります。
- ゼロデイ脆弱性:修正プログラムが十分に行き渡る前に、脆弱性の情報や悪用方法が知られている状態を指します。公開済みであることと、実際の攻撃が確認されていることは同じではありません。
- リモートコード実行(RCE):ネットワークなどを通じて、攻撃者が対象システム上で任意のコードを実行できる可能性がある脆弱性です。
- 権限昇格:一般ユーザーなどの限られた権限から、管理者やSYSTEMなどの強い権限を取得することです。
- PoC:Proof of Conceptの略で、脆弱性を技術的に再現できることを示す検証用コードや手順です。
- HTTP.sys:Windows上でHTTP通信を処理するカーネルモードのコンポーネントです。IISなどでも利用されます。
- BitLocker:Windowsに搭載されているストレージ暗号化機能です。端末の紛失や盗難時に、保存データを保護する目的で利用されます。
206件の修正から優先順位をどう判断するか
今回の更新では、合計206件の脆弱性が修正されました。The Hacker Newsによると、その内訳はCriticalが39件、Importantが167件です。脆弱性の種類では、権限昇格が63件、リモートコード実行が56件、情報漏えいが30件、なりすましが27件、セキュリティ機能の回避が20件、サービス拒否が7件、改ざんが3件とされています。件数が非常に多いため、単にすべてを同じ順番で処理するのではなく、外部から到達できるシステム、認証や利用者の操作を必要としない問題、重要なサーバーに影響する問題から優先する必要があります。
特に注意したいのは、Windowsカーネル、HTTP.sys、DHCP Clientなど、OSやネットワーク通信の基盤となるコンポーネントにCVSS 9.8の脆弱性が含まれている点です。これらは特定の業務アプリケーションだけに限定された問題ではなく、Windowsを使用する端末やサーバーの構成によって影響を受ける可能性があります。一方で、元記事には各脆弱性が影響するWindowsのエディションやビルド番号がすべて掲載されているわけではありません。資産管理情報を基に、Microsoft Security Update Guideで自社環境の対象製品と更新プログラムを照合することが重要です。
ネットワーク経由のコード実行につながる重大な脆弱性
今回の修正で特に深刻度が高いものとして、Windowsカーネルの解放済みメモリ使用に関する脆弱性「CVE-2026-45657」が挙げられます。CVSSは9.8で、細工されたネットワーク通信を脆弱なWindowsシステムへ送信することで、TCP/IPデータの処理に問題を発生させる可能性があるとされています。悪用に成功した場合、攻撃者がログインしたり、利用者にファイルを開かせたりしなくても、システムレベルの権限でコードを実行できる可能性があります。
同じくCVSS 9.8の「CVE-2026-47291」は、Windows HTTP.sysの整数オーバーフローまたはラップアラウンドに関する脆弱性です。認証されていない攻撃者がネットワーク経由でコードを実行できる可能性があると報告されています。HTTP.sysはWindowsのHTTP通信処理に関わるため、IISを含むWebサーバー環境では、該当する更新プログラムの適用状況を優先的に確認する必要があります。
「CVE-2026-44815」もCVSS 9.8で、Windows DHCP Clientのスタックベースのバッファオーバーフローとして説明されています。この問題についても、認証や利用者の操作を必要とせず、ネットワーク経由のコード実行につながる可能性が報告されています。DHCPはIPアドレスなどのネットワーク設定を自動的に取得するため、多くの社内端末で日常的に利用されています。サーバーだけでなく、クライアントPCを含めた更新状況の確認が求められます。
公開済みゼロデイとBitLocker、HTTP.sysへの対応
2026年6月の更新には、公開時点ですでに情報が開示されていた「CVE-2026-50507」「CVE-2026-49160」「CVE-2026-45586」の3件も含まれています。CVE-2026-50507はBitLockerのセキュリティ機能を回避する脆弱性で、CVSSは6.8です。元記事では、対象端末へ物理的にアクセスできる攻撃者が、暗号化されたデータへアクセスするために悪用する可能性が示されています。CVSSの数値だけを見るとネットワーク経由のRCEより低いものの、持ち出し用PCや共有スペースに設置された端末では、物理管理を含めて評価する必要があります。
CVE-2026-49160はHTTP.sysのサービス拒否脆弱性で、CVSSは7.5です。HTTP/2のヘッダー処理を悪用してサーバーのメモリを大量に消費させる「HTTP2/Bomb」と関連すると報告されています。Microsoftは、2026年6月9日以降に公開されたWindows更新を適用した環境で、HTTP/2およびHTTP/3リクエストのヘッダー数を制限する「MaxHeadersCount」を利用できると案内しています。レジストリを変更する場合は、Microsoftの公式手順を確認し、事前のバックアップや再起動、既存システムへの影響評価を行う必要があります。
CVE-2026-45586はWindows Collaborative Translation Frameworkにおける権限昇格の脆弱性で、CVSSは7.8です。また、今回の更新では、2020年12月に修正されたCVE-2020-17103への対応が不完全であるとして公開された「MiniPlasma」と呼ばれる問題についても、包括的な対策が行われたと報告されています。公開済みの脆弱性やPoCが存在する状況では、攻撃者が技術情報を分析できる可能性があります。ただし、元記事は3件について「公開済み」としており、実際の攻撃で悪用されていると断定しているわけではありません。過度に不安をあおるのではなく、Microsoftの情報を確認しながら、対象資産の特定、更新、適用確認を着実に進めることが重要です。
参考文献・記事一覧
- The Hacker News
- Microsoft Security Response Center:2026年6月セキュリティ更新
- Microsoft Security Response Center:CVE-2026-45657
- Microsoft Security Response Center:CVE-2026-47291
- Microsoft Security Response Center:CVE-2026-44815
- Microsoft Security Response Center:CVE-2026-50507
- Microsoft Security Response Center:CVE-2026-49160
- Microsoft Security Response Center:CVE-2026-45586
- Microsoft Support:HTTP/2およびHTTP/3リクエストヘッダー数の制御
- Microsoft Security Response Center:CVE-2020-17103
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.06.29Microsoftが206件の脆弱性を修正、3件の公開済みゼロデイと重大なRCEに対応- 2026.06.28Claude Mythosが重大脆弱性1万件超を検出、AI時代の修正体制が課題に
- News2026.06.26AI時代のDDoS攻撃に備える、Web・API・クラウド防御の見直しが重要
- 2026.06.25Marimoの脆弱性を悪用、LLMエージェントがクラウド認証情報と内部DBを窃取
