ニュース
Microsoft、2026年7月の「Windows Update」 ~脆弱性は過去最多の約3倍で622件、「緊急」だけでも62件
悪用されているものも存在、OSやOffice、SharePoint、Exchange、Copilotなどに影響
2026年7月15日 09:08
米Microsoftは7月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Microsoft Update カタログ」などから入手可能。
Microsoftによると、今月のパッチでは、新たに622件の脆弱性が修正された(「Microsoft Edge」の「Chromium」由来分を除く)。これは過去最多だった6月(208件)を大幅に更新する規模。ZDIによると今年の修正数は1,380件に達しており、これは過去20年で最大だった2020年の年間修正数(1,250件)をすでに超えている。
このうち、 すでに悪用が確認されている 脆弱性は以下の2件。深刻度はいずれも最高の「Critical」(緊急)ではないが、早急な対処が必要だ。
- CVE-2026-56155:Active Directory フェデレーション サービス(AD FS)の特権の昇格の脆弱性(重要)
- CVE-2026-56164:Microsoft SharePoint Server の特権の昇格の脆弱性(警告)
また、以下の1件はパッチ公開の時点で詳細が一般に公開されている。悪用のリスクがあるため、警戒が必要。
- CVE-2026-50661:Windows BitLocker のセキュリティ機能のバイパスの脆弱性(重要)
深刻度が最高の「Critical」(緊急)と評価された脆弱性は、Microsoft製品だけでも62件にのぼる。OSや「Office」、「SharePoint」、「Copilot」、「Azure」製品などに広く影響しており、できるだけ早い対処を心掛けたい。
- 「Office」「Word」「PowerPoint」系のリモートコード実行:15件
- 「Windows Media」「Media Foundation」のリモートコード実行:7件
- 「DHCP Server」「DHCP Client」のリモートコード実行:5件
- 「Copilot」「Azure」AI系(Microsoft 365 Copilot、Azure OpenAI、Azure Synapse、Microsoft Entra など):5件
- 「Hyper-V」「VMSwitch」の特権昇格:3件
- 「SharePoint」のリモートコード実行ほか:3件
- 「SQL Server」「Defender」「GDI+」「セキュアカーネルモード」「RMCAST(信頼できるマルチキャスト転送ドライバー)」:各2件
- そのほか(Active Directory ドメイン サービスのRCE、DirectX、TCP/IP、Print Spooler、MSMQ、SSTP、WSUS、リモート デスクトップ クライアント、Dynamics 365 など):合計十数件
なお、上記のほかに「curl」「OpenSSH」「node-tar」などオープンソースコンポーネントの脆弱性も多数修正されている。
Windows 10/11およびWindows Server 2016/2019/2022/2025
最大深刻度は「緊急」(リモートでコードが実行される)。
- Windows 11 バージョン 26H1:KB5101649
- Windows 11 バージョン 25H2:KB5101650
- Windows 11 バージョン 24H2:KB5101650
- Windows 11 バージョン 23H2:KB5099414
- Windows 10 バージョン 22H2(ESU):KB5099539
- Windows Server 2025:KB5099536
- Windows Server 2022:KB5099540
- Windows Server 2019:KB5099538
- Windows Server 2016:KB5099535
ユーザーの多くが利用する「Windows 11 バージョン 25H2」(KB5101650)のハイライトは以下の通り。
- プレビューパッチ「KB5095093」(2026年6月23日リリース)の内容
・ポイントインタイム リストア(Point-in-time restore):Windowsの新しい復旧オプション。アプリ・設定・個人用ファイルを含めて、直近の自動復元ポイントまでPCを素早く巻き戻せる
・「Windows Update」の停止期間をカレンダーで指定:終了日をカレンダーで指定して最大35日まで更新を一時停止できる。何度でも再延長可能
・[ウィジェット]の刷新:既定設定が見直され、ホバーだけでは開かないようにするなど、邪魔になりにくい設計に
・アクセシビリティの強化:スクリーンの色合いを見やすく調整する「Screen tint」、Windows同梱の「拡大鏡」アプリがブラッシュアップ
・音声アクセス・音声入力が仏・独・西語に対応:話すと同時に文法・句読点・認識誤りをリアルタイムで補正する(「Copilot+ PC」向け)
・印刷の刷新:対応プリンターでは、新規インストール時に「Internet Printing Protocol」(IPP)が既定で使われるように - OLEオートメーションを介して「Microsoft Office」と連携する特定のサードパーティ製アプリに影響する問題を修正
- ホットキーの登録解除およびクリーンアップの動作が変更
- TDIトランスポートの登録要件を強制するセキュリティ強化を導入
- Windows同梱の「curl」をv8.21.0へ更新。最新のセキュリティ改善が適用される
Windowsの「ごみ箱」で謎ファイル名が表示される不具合や、「エクスプローラー」フォルダーツリーで「OneDrive」アイコンをクリックしても反応せず、その内容を参照できない問題なども解決されている。
なお、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。最近、個人デバイス向けESUは1年間の延期が発表されており、2027年10月12日まで利用できる。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
「Microsoft 365 Apps」では77件の脆弱性が修正されており、深刻度「Critical」と評価されたリモートコード実行の脆弱性15件が含まれる。できるだけ早い対処を心掛けたい。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。執筆時現在の最新版は、13日付けでリリースされたv150.0.4078.65。
常に最新版を適用するように心掛けたい。
Microsoft SharePoint
「Microsoft SharePoint」関連では、39件の脆弱性が修正された。深刻度「緊急」と評価された以下の3件が含まれているので、警戒が必要だ。悪用が確認されている「CVE-2026-56164」(警告:特権の昇格)も修正されている点にも注意。
- CVE-2026-50522(緊急:リモートでコードが実行される)
- CVE-2026-55033(緊急:リモートでコードが実行される)
- CVE-2026-55040(緊急:セキュリティ機能のバイパス)
- CVE-2026-55045(緊急:リモートでコードが実行される)
- CVE-2026-55127(緊急:リモートでコードが実行される)
- CVE-2026-55132(緊急:リモートでコードが実行される)
- CVE-2026-58644(緊急:リモートでコードが実行される)
Microsoft Exchange Server
「Microsoft Exchange Server」(Subscription Edition/2019/2016)では、4件の脆弱性が修正された。最大深刻度は「緊急」。また、「Microsoft Exchange Online」でも深刻度「緊急」と評価された特権昇格の脆弱性「CVE-2026-54998」が修正されている。
- CVE-2026-55005(重要:リモートでコードが実行される)
- CVE-2026-55006(重要:特権の昇格)
- CVE-2026-55008(緊急:なりすまし)
- CVE-2026-55009(重要:特権の昇格)
Microsoft Visual Studio
「Visual Studio」関連では、以下の16件の脆弱性が修正された。最大深刻度は「重要」。
- CVE-2026-47300(重要:特権の昇格)
- CVE-2026-47302(重要:サービス拒否)
- CVE-2026-47303(重要:特権の昇格)
- CVE-2026-47304(重要:セキュリティ機能のバイパス)
- CVE-2026-47305(重要:リモートでコードが実行される)
- CVE-2026-50524(重要:サービス拒否)
- CVE-2026-50525(重要:サービス拒否)
- CVE-2026-50526(重要:改ざん)
- CVE-2026-50527(重要:サービス拒否)
- CVE-2026-50528(重要:セキュリティ機能のバイパス)
- CVE-2026-50646(重要:リモートでコードが実行される)
- CVE-2026-50648(重要:サービス拒否)
- CVE-2026-50649(重要:リモートでコードが実行される)
- CVE-2026-50650(重要:特権の昇格)
- CVE-2026-50651(重要:サービス拒否)
- CVE-2026-50659(重要:なりすまし)
以下のバージョンにパッチが提供中。
- Microsoft Visual Studio 2026 version 18.7
- Microsoft Visual Studio 2022 version 17.14
- Microsoft Visual Studio 2022 version 17.12
Visual Studio Code
「Visual Studio Code」では、以下の6件が修正されている。最大深刻度は「重要」。
- CVE-2026-41109(重要:セキュリティ機能のバイパス)
- CVE-2026-45496(重要:セキュリティ機能のバイパス)
- CVE-2026-47282(重要:情報漏えい)
- CVE-2026-50520(重要:リモートでコードが実行される)
- CVE-2026-57101(重要:セキュリティ機能のバイパス)
- CVE-2026-57102(重要:セキュリティ機能のバイパス)
Microsoft Dynamics 365
「Microsoft Dynamics 365 Business Central」「Microsoft Dynamics NAV」(オンプレミス)では、以下の1件の脆弱性が修正された。
- CVE-2026-55944(緊急:リモートでコードが実行される)
Microsoft .NET/.NET Framework
「.NET」関連のセキュリティ修正に関しては、公式ブログを参照のこと。「.NET」「.NET Framework」を合わせてCVE番号ベースで複数件の修正がアナウンスされている。
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供中だ。括弧内は最大深刻度。
- Microsoft SQL Server(2016~2025):緊急
- Windows Admin Center:6件(重要)
- Microsoft Malware Protection Engine:2件(緊急)
- Microsoft Configuration Manager(2503/2509/2603):各1件(重要)
- Microsoft Defender for Endpoint for Mac:3件(重要)
- Microsoft PC Manager:2件(重要)
- Windows Subsystem for Linux:2件(重要)
- Microsoft 365 Copilot(iOS/Android):緊急
- Microsoft Entra Provisioning Service:1件(緊急)
- Azure Synapse:1件(緊急)
- Azure OpenAI:1件(緊急)
- Azure Active Directory:2件(重要)
- Azure CycleCloud:2件(重要)
- Azure Spring Apps:1件(重要)
- Minecraft Bedrock Dedicated Server:1件(緊急)
- GitHub Copilot Plugin for JetBrains IDEs:1件(重要)
- Power BI Report Server/Fabric Data Warehouse:重要
- Microsoft Bing Search for iOS:1件(重要)
- Microsoft Copilot:1件(警告)
- Age of Empires II: Definitive Edition:1件(重要)
- Windows Remote Help:1件(重要)
- Surface各種(Laptop/Pro/Hub/Go ほか):重要






















![1冊ですべて身につくHTML & CSSとWebデザイン入門講座[第2版] 製品画像:5位](https://m.media-amazon.com/images/I/51skMJ-OVcL._SL160_.jpg)




