ニュース

Microsoft、2026年7月の「Windows Update」 ~脆弱性は過去最多の約3倍で622件、「緊急」だけでも62件

悪用されているものも存在、OSやOffice、SharePoint、Exchange、Copilotなどに影響

Microsoft、2026年7月の「Windows Update」「Microsoft Update」を実施

 米Microsoftは7月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Microsoft Update カタログ」などから入手可能。

 Microsoftによると、今月のパッチでは、新たに622件の脆弱性が修正された(「Microsoft Edge」の「Chromium」由来分を除く)。これは過去最多だった6月(208件)を大幅に更新する規模。ZDIによると今年の修正数は1,380件に達しており、これは過去20年で最大だった2020年の年間修正数(1,250件)をすでに超えている。

過去20年の脆弱性修正数(ZDIより、引用)

 このうち、 すでに悪用が確認されている 脆弱性は以下の2件。深刻度はいずれも最高の「Critical」(緊急)ではないが、早急な対処が必要だ。

  • CVE-2026-56155:Active Directory フェデレーション サービス(AD FS)の特権の昇格の脆弱性(重要)
  • CVE-2026-56164:Microsoft SharePoint Server の特権の昇格の脆弱性(警告)

 また、以下の1件はパッチ公開の時点で詳細が一般に公開されている。悪用のリスクがあるため、警戒が必要。

  • CVE-2026-50661:Windows BitLocker のセキュリティ機能のバイパスの脆弱性(重要)

 深刻度が最高の「Critical」(緊急)と評価された脆弱性は、Microsoft製品だけでも62件にのぼる。OSや「Office」、「SharePoint」、「Copilot」、「Azure」製品などに広く影響しており、できるだけ早い対処を心掛けたい。

  • 「Office」「Word」「PowerPoint」系のリモートコード実行:15件
  • 「Windows Media」「Media Foundation」のリモートコード実行:7件
  • 「DHCP Server」「DHCP Client」のリモートコード実行:5件
  • 「Copilot」「Azure」AI系(Microsoft 365 Copilot、Azure OpenAI、Azure Synapse、Microsoft Entra など):5件
  • 「Hyper-V」「VMSwitch」の特権昇格:3件
  • 「SharePoint」のリモートコード実行ほか:3件
  • 「SQL Server」「Defender」「GDI+」「セキュアカーネルモード」「RMCAST(信頼できるマルチキャスト転送ドライバー)」:各2件
  • そのほか(Active Directory ドメイン サービスのRCE、DirectX、TCP/IP、Print Spooler、MSMQ、SSTP、WSUS、リモート デスクトップ クライアント、Dynamics 365 など):合計十数件

 なお、上記のほかに「curl」「OpenSSH」「node-tar」などオープンソースコンポーネントの脆弱性も多数修正されている。

Windows 10/11およびWindows Server 2016/2019/2022/2025

 最大深刻度は「緊急」(リモートでコードが実行される)。

 ユーザーの多くが利用する「Windows 11 バージョン 25H2」(KB5101650)のハイライトは以下の通り。

  • プレビューパッチ「KB5095093」(2026年6月23日リリース)の内容
    ポイントインタイム リストア(Point-in-time restore)Windowsの新しい復旧オプション。アプリ・設定・個人用ファイルを含めて、直近の自動復元ポイントまでPCを素早く巻き戻せる
    「Windows Update」の停止期間をカレンダーで指定終了日をカレンダーで指定して最大35日まで更新を一時停止できる。何度でも再延長可能
    [ウィジェット]の刷新既定設定が見直され、ホバーだけでは開かないようにするなど、邪魔になりにくい設計に
    アクセシビリティの強化:スクリーンの色合いを見やすく調整する「Screen tint」、Windows同梱の「拡大鏡」アプリがブラッシュアップ
    音声アクセス・音声入力が仏・独・西語に対応:話すと同時に文法・句読点・認識誤りをリアルタイムで補正する(「Copilot+ PC」向け)
    印刷の刷新:対応プリンターでは、新規インストール時に「Internet Printing Protocol」(IPP)が既定で使われるように
  • OLEオートメーションを介して「Microsoft Office」と連携する特定のサードパーティ製アプリに影響する問題を修正
  • ホットキーの登録解除およびクリーンアップの動作が変更
  • TDIトランスポートの登録要件を強制するセキュリティ強化を導入
  • Windows同梱の「curl」をv8.21.0へ更新。最新のセキュリティ改善が適用される

 Windowsの「ごみ箱」で謎ファイル名が表示される不具合や、「エクスプローラー」フォルダーツリーで「OneDrive」アイコンをクリックしても反応せず、その内容を参照できない問題なども解決されている。

ポイントインタイム リストア(Point-in-time restore)
終了日をカレンダーで指定

 なお、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。最近、個人デバイス向けESUは1年間の延期が発表されており、2027年10月12日まで利用できる。

Microsoft Office関連のソフトウェア

 「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

 「Microsoft 365 Apps」では77件の脆弱性が修正されており、深刻度「Critical」と評価されたリモートコード実行の脆弱性15件が含まれる。できるだけ早い対処を心掛けたい。

Microsoft Edge

 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。執筆時現在の最新版は、13日付けでリリースされたv150.0.4078.65。

 常に最新版を適用するように心掛けたい。

Microsoft SharePoint

 「Microsoft SharePoint」関連では、39件の脆弱性が修正された。深刻度「緊急」と評価された以下の3件が含まれているので、警戒が必要だ。悪用が確認されている「CVE-2026-56164」(警告:特権の昇格)も修正されている点にも注意。

  • CVE-2026-50522(緊急:リモートでコードが実行される)
  • CVE-2026-55033(緊急:リモートでコードが実行される)
  • CVE-2026-55040(緊急:セキュリティ機能のバイパス)
  • CVE-2026-55045(緊急:リモートでコードが実行される)
  • CVE-2026-55127(緊急:リモートでコードが実行される)
  • CVE-2026-55132(緊急:リモートでコードが実行される)
  • CVE-2026-58644(緊急:リモートでコードが実行される)

Microsoft Exchange Server

 「Microsoft Exchange Server」(Subscription Edition/2019/2016)では、4件の脆弱性が修正された。最大深刻度は「緊急」。また、「Microsoft Exchange Online」でも深刻度「緊急」と評価された特権昇格の脆弱性「CVE-2026-54998」が修正されている。

Microsoft Visual Studio

 「Visual Studio」関連では、以下の16件の脆弱性が修正された。最大深刻度は「重要」。

 以下のバージョンにパッチが提供中。

  • Microsoft Visual Studio 2026 version 18.7
  • Microsoft Visual Studio 2022 version 17.14
  • Microsoft Visual Studio 2022 version 17.12

Visual Studio Code

 「Visual Studio Code」では、以下の6件が修正されている。最大深刻度は「重要」。

Microsoft Dynamics 365

 「Microsoft Dynamics 365 Business Central」「Microsoft Dynamics NAV」(オンプレミス)では、以下の1件の脆弱性が修正された。

  • CVE-2026-55944(緊急:リモートでコードが実行される)

Microsoft .NET/.NET Framework

 「.NET」関連のセキュリティ修正に関しては、公式ブログを参照のこと。「.NET」「.NET Framework」を合わせてCVE番号ベースで複数件の修正がアナウンスされている。

そのほかの製品

 そのほかにも、以下の製品に対しセキュリティアップデートが提供中だ。括弧内は最大深刻度。

  • Microsoft SQL Server(2016~2025):緊急
  • Windows Admin Center:6件(重要)
  • Microsoft Malware Protection Engine:2件(緊急)
  • Microsoft Configuration Manager(2503/2509/2603):各1件(重要)
  • Microsoft Defender for Endpoint for Mac:3件(重要)
  • Microsoft PC Manager:2件(重要)
  • Windows Subsystem for Linux:2件(重要)
  • Microsoft 365 Copilot(iOS/Android):緊急
  • Microsoft Entra Provisioning Service:1件(緊急)
  • Azure Synapse:1件(緊急)
  • Azure OpenAI:1件(緊急)
  • Azure Active Directory:2件(重要)
  • Azure CycleCloud:2件(重要)
  • Azure Spring Apps:1件(重要)
  • Minecraft Bedrock Dedicated Server:1件(緊急)
  • GitHub Copilot Plugin for JetBrains IDEs:1件(重要)
  • Power BI Report Server/Fabric Data Warehouse:重要
  • Microsoft Bing Search for iOS:1件(重要)
  • Microsoft Copilot:1件(警告)
  • Age of Empires II: Definitive Edition:1件(重要)
  • Windows Remote Help:1件(重要)
  • Surface各種(Laptop/Pro/Hub/Go ほか):重要