概要
- Microsoft が570件以上のセキュリティ脆弱性を修正
- AI による脆弱性発見の加速が背景
- 60件近くが「クリティカル」評価
- 3件の ゼロデイ脆弱性 も修正
- 他社もパッチ配信頻度を増加
Microsoft Patch Tuesday 2024年7月:AIによる脆弱性発見加速
- Microsoft がWindows OSおよび関連ソフトウェア向けに 570件以上 のセキュリティ修正プログラムを公開
- 先月の記録的なパッチ数の 約3倍 に到達
- AI技術 の活用により脆弱性発見数が急増
- 60件近く が「クリティカル」評価
- 攻撃者がユーザーの操作なしで遠隔から制御可能となる深刻な脆弱性
- 3件のゼロデイ脆弱性 を修正
- うち2件は既に実際の攻撃で悪用中
- 2件は権限昇格を可能とする脆弱性
- CVE-2026-56155 (Active Directory Federation Services)
- CVE-2026-56164 (Microsoft SharePoint)
- CVE-2026-50661 (Windows BitLockerのセキュリティ機能バイパス)
- 物理アクセス時に暗号化データへアクセス可能となるリスク
- 公開済みだが現時点で悪用報告なし
AIがもたらす脆弱性管理の変化
- Microsoft はAIによる脆弱性発見の加速を公式ブログで説明
- 「AIの進歩により、より多くのコードを高速かつ広範囲に分析可能」と強調
- Action1 のJack Bicer氏が CVE-2026-48561 (Microsoft Copilotのリモートコード実行脆弱性)に注目
- CVSSスコア9.6 の高リスク
- 攻撃者が悪意あるWebサイトをホストし、Edge for Android経由でCopilotに細工したプロンプトを送信可能
脆弱性の悪用リスクと評価指標の課題
- AIの発展に伴い、攻撃者も既知脆弱性の悪用手法を迅速に開発
- Microsoft の「exploitability index」(悪用可能性評価指標)がAI時代に適応しきれていないとの指摘
- Tenable のSatnam Narang氏が、SharePointゼロデイの評価が「悪用可能性低」とされた例を批判
- Anthropic のRed Teamによる検証では、「悪用可能性低」または「悪用不可能」と評価された14件中13件でAIがPoC(概念実証コード)を生成
- 「exploitability indexは人間中心の指標であり、AIの進歩に合わせて防御側も進化が必要」と提言
他社のパッチ配信動向と推奨対応
- Adobe は今後、毎月第2・第4火曜の2回体制でセキュリティ情報を公開(AIによる発見加速を理由に言及)
- Cisco、Mozilla、Oracle も更新頻度を増加
- Google は2026年6月に900件超のセキュリティ修正を実施
- Windowsユーザー への推奨事項
- アップデート適用前に必ず バックアップ を推奨
- 今月のパッチ数が非常に多いため、数日間様子を見てから適用するのが賢明
- 大量のパッチ適用による システム安定性の問題 発生リスクも考慮
関連リソース
- Action1 Patch Tuesdayブログ
- Automox の月例パッチ解説