マイクロソフト、過去最大規模のPatch Tuesdayで200件の脆弱性を修正──3件のゼロデイに緊急対処

リモートからシステムを乗っ取られる可能性がある「リモートコード実行」の脆弱性が55件と、全体の約4分の1を占めている点は、特に注意が必要です。

緊急対処された3つのゼロデイ脆弱性

「ゼロデイ」とは、開発元が修正プログラムを提供する前に脆弱性の詳細が公開されたり、実際の攻撃に悪用されたりするものを指します。今回修正された3件はいずれも、修正前に実際の攻撃に悪用されたという報告はありませんでした 。

CVE-2026-45586 — CTFMONの特権昇格（通称：GreenPlasma）

Windowsの共同翻訳フレームワーク（CTFMON）に存在する「リンク追跡」の脆弱性です。認証された攻撃者が、この脆弱性を悪用することで、ローカルでの権限を「SYSTEM」権限にまで昇格させることが可能になります。

マイクロソフトは報告者を匿名としていますが、セキュリティ業界では、この脆弱性が**「GreenPlasma」**という名称で研究者「Nightmare Eclipse」によって公開されたものであると広く認識されています。これは、マイクロソフトの脆弱性報奨金制度に抗議するために行われた一連の公開活動の一環でした 。

CVE-2026-49160 — HTTP.sysのサービス拒否（通称：「HTTP/2ボム」）

「HTTP/2ボム」の異名を持つ、今回最も注目を集めた脆弱性の一つです。CVSSスコアは7.5（重要）と評価されています 。

これは、HTTP/2プロトコルスタックにおけるリソースの過剰消費（CWE-400）を突いた攻撃で、認証を必要としないリモートの攻撃者が少量のデータを送りつけるだけで、サーバーに不釣り合いなほど大量のメモリを消費させることができます。攻撃者はHTTP/2のフロー制御設定を操作することで、そのメモリを半永久的に占有させ、Webサーバーを数秒でダウンさせることが理論的に可能です 。

この脆弱性は、Quang Luong氏とCalif.ioのCodex氏によって発見されました。マイクロソフトは緩和策として、新たにHTTP/2およびHTTP/3のリクエストヘッダー数を制限する**「MaxHeadersCount」**というレジストリ設定（サポート技術情報：KB5102602で解説）を導入しました 。

CVE-2026-50507 — BitLockerセキュリティ機能バイパス（通称：YellowKey）

これは、BitLockerドライブ暗号化の保護メカニズムを迂回できる脆弱性です。TPMのみに依存したドライブにおいて、認証されていない攻撃者が物理アクセスを伴うことで、Windows回復環境（WinRE）を悪用し、暗号化をバイパスできる可能性があります。

この脆弱性も、先述の「Nightmare Eclipse」による抗議活動の中で「YellowKey」として公開されたものです。物理的なアクセスが必要となるため悪用のハードルは高いものの、ドライブの盗難・紛失時にデータが読み取られるリスクがあるため、重要な修正となります 。

「Nightmare Eclipse」の抗議活動

セキュリティ研究者であるNightmare Eclipse（コミュニティでは「Chaotic Eclipse」としても知られる）は、マイクロソフトの脆弱性報奨金制度（バグバウンティ）や情報開示プロセスへの抗議として、一連のWindowsゼロデイ脆弱性を公開しました。そのラインナップは、BlueHammer、MiniPlasma、RedSun、UnDefend、GreenPlasma、YellowKeyと、それぞれ固有のコードネームが付けられています 。

今回の6月の修正で対処されたのは、このうちGreenPlasmaとYellowKeyの2つです。しかし、他の3つ（BlueHammer、RedSun、UnDefend）については、6月初旬の時点で実際に悪用が確認されたとの報告があり、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、これらを「悪用が確認された脆弱性（Known Exploited Vulnerabilities）」カタログに追加しています 。

Windows 11累積アップデート：新機能も同時に提供

今回のセキュリティ更新は、単なる「修正パッチ」ではありません。Windows 11向けの必須累積アップデートでは、多数の新機能も同時に提供が開始されています。

主な累積アップデートは以下の2つです 。

• KB5094126: Windows 11 バージョン 25H2（ビルド 26200.8457）および 24H2（ビルド 26100.8457）向け
• KB5093998: Windows 11 バージョン 23H2（ビルド 22631.7079）向け

さらに、Windows 10向けにも延長セキュリティ更新プログラム（ESU）「KB5094127」が提供されています 。

これらのアップデートを適用することで、以下のような新機能や改善が利用可能になります 。

• Xboxモード: PCをXboxコンソールのようなゲーム体験に切り替えられるモードが、より多くのデバイスに展開されます。ゲーマーにとっては嬉しいアップデートです。
• 共有オーディオ: Bluetooth LE Audioに対応した2台のイヤホンやヘッドホンで、1台のPCから同じ音楽や動画の音声を同時に楽しめるようになります。
• タスクマネージャーのNPU監視: AI処理を担うNPU（Neural Processing Unit）の使用率や専用/共有メモリの状況を、タスクマネージャー上でリアルタイムに確認できるようになります。
• マルチアプリカメラ: 複数のアプリケーションが同時に1つのカメラにアクセスできるようになります。ビデオ会議中に別のアプリでカメラを使いたい場合などに便利です。
• パフォーマンスの改善: 新しい「低遅延プロファイル」により、アプリの起動や、スタートメニュー、検索、アクションセンターの応答性が最大70%向上します。
• セットアップ時の改善: Windowsの初期設定時に、ユーザーフォルダの名前を自由にカスタマイズできるようになりました。

Adobeも同日に123件の脆弱性を修正──1日で計329件に対処

この日はマイクロソフトだけではありませんでした。Adobeも11件のセキュリティアドバイザリを公開し、Acrobat Reader、ColdFusion、InDesign、Experience Managerなど、自社製品に存在する合計123件の脆弱性を修正しました。そのうち47件は「緊急」と評価されています 。

両社合わせて、2026年6月9日のたった1日で、計329件の脆弱性が解決されたことになります 。前月には、マイクロソフトのChromium版Edgeブラウザの基盤にもなっているGoogle Chromeで360件もの脆弱性が修正されており、エコシステム全体で大規模なセキュリティ強化が続いています 。

ただちにWindows Updateの実行を

過去最大規模の修正となった今回のPatch Tuesdayは、システムの「防御壁」を何重にも強化する、極めて重要なアップデートです。特に、リモートからの攻撃が可能な「HTTP/2ボム」や、組織内の権限を奪取される可能性がある「GreenPlasma」は、企業のシステム管理者だけでなく、個人ユーザーにとっても対岸の火事ではありません。

「Windows Update」を今すぐ実行し、お使いのPCを最新の状態に保つことを強くお勧めします。