世界を動かす技術を、日本語で。

マイクロソフトが少なくとも570のセキュリティホールを修正するソフトウェアアップデートを公開しました

概要

  • Microsoft が570件以上のセキュリティ脆弱性を修正
  • AI による脆弱性発見の加速が背景
  • 60件近くが「クリティカル」評価
  • 3件の ゼロデイ脆弱性 も修正
  • 他社もパッチ配信頻度を増加

Microsoft Patch Tuesday 2024年7月:AIによる脆弱性発見加速

  • Microsoft がWindows OSおよび関連ソフトウェア向けに 570件以上 のセキュリティ修正プログラムを公開
  • 先月の記録的なパッチ数の 約3倍 に到達
  • AI技術 の活用により脆弱性発見数が急増
  • 60件近く が「クリティカル」評価
    • 攻撃者がユーザーの操作なしで遠隔から制御可能となる深刻な脆弱性
  • 3件のゼロデイ脆弱性 を修正
    • うち2件は既に実際の攻撃で悪用中
    • 2件は権限昇格を可能とする脆弱性
      • CVE-2026-56155 (Active Directory Federation Services)
      • CVE-2026-56164 (Microsoft SharePoint)
    • CVE-2026-50661 (Windows BitLockerのセキュリティ機能バイパス)
      • 物理アクセス時に暗号化データへアクセス可能となるリスク
      • 公開済みだが現時点で悪用報告なし

AIがもたらす脆弱性管理の変化

  • Microsoft はAIによる脆弱性発見の加速を公式ブログで説明
    • 「AIの進歩により、より多くのコードを高速かつ広範囲に分析可能」と強調
  • Action1 のJack Bicer氏が CVE-2026-48561 (Microsoft Copilotのリモートコード実行脆弱性)に注目
    • CVSSスコア9.6 の高リスク
    • 攻撃者が悪意あるWebサイトをホストし、Edge for Android経由でCopilotに細工したプロンプトを送信可能

脆弱性の悪用リスクと評価指標の課題

  • AIの発展に伴い、攻撃者も既知脆弱性の悪用手法を迅速に開発
  • Microsoft の「exploitability index」(悪用可能性評価指標)がAI時代に適応しきれていないとの指摘
    • Tenable のSatnam Narang氏が、SharePointゼロデイの評価が「悪用可能性低」とされた例を批判
    • Anthropic のRed Teamによる検証では、「悪用可能性低」または「悪用不可能」と評価された14件中13件でAIがPoC(概念実証コード)を生成
    • 「exploitability indexは人間中心の指標であり、AIの進歩に合わせて防御側も進化が必要」と提言

他社のパッチ配信動向と推奨対応

  • Adobe は今後、毎月第2・第4火曜の2回体制でセキュリティ情報を公開(AIによる発見加速を理由に言及)
  • Cisco、Mozilla、Oracle も更新頻度を増加
  • Google は2026年6月に900件超のセキュリティ修正を実施
  • Windowsユーザー への推奨事項
    • アップデート適用前に必ず バックアップ を推奨
    • 今月のパッチ数が非常に多いため、数日間様子を見てから適用するのが賢明
    • 大量のパッチ適用による システム安定性の問題 発生リスクも考慮

関連リソース

  • Action1 Patch Tuesdayブログ
  • Automox の月例パッチ解説

Hackerたちの意見

これらの修正でどれだけバグが増えるんだろうな…

バグなんてないよ、意図的なバックドアだけさ。

バグを導入するんじゃなくて、機能体験を提供してるんだよね。

一つ直して二つ追加する。昔、iOSの初期にオーストラリアで素晴らしい天気アプリがあったんだ。作者が提供してたアップデートノートが大好きだった。一つは「一つの文法ミスを直したけど、もう一つ新しいのを追加した。見つけられる?」ってやつ。

それは彼らのテストプラクティスやコードレビュー・監査がどれだけ良いかによるね。業界で一番だと信じたいけど、それは仮定に過ぎない。でも、修正がバグを引き起こすってすぐに考えるのはちょっと軽率で、無能さやプロフェッショナリズムの欠如、監視されていないAIの使用、反射的なバグ修正プロセスを前提にしてるよね。

IBMの研究で、バグを2つ直すと別のバグが1つ出るっていうのを見たことがある。実際、バグのキューは思ってるよりも2倍長いってことだね。

バグハンティングは、AIが実際に世界を良くしてる分野かもしれないね。

でも、AIのコーディングやバイブコーディングの誤用でどれだけバグが増えたんだろう?

AIが世界を悪くしてるって文句言ってる人の99.9%は、自分たちが自動化の経済的利益を享受できれば、AIに満足すると思うよ。

まるで神話のスキャンが全部通って、それからみんなが実装するためのレポートが生成された感じだね。全ての組織でそうかは分からないけど。神話は上から来るもので、つまりは明確なインセンティブがあったから良かったと思う。バグ報告は、顧客サポートが責任チームに対してインシデントを上げない限り、エンジニアには届かないんじゃないかな。

悪い奴らもAIを使えるからね。結果がどうなるかは分からないけど。

それ次第だね。AIの修正が新しいバグや不必要な複雑さ(バグが隠れやすいところ)を生まないなら、そうだね。

Hacker Newsで議論の続きを見る