グーグルが429件の脆弱性を修正した過去最大のChromeアップデートを配信した直後、マイクロソフトも記録を塗り替えた。7月のパッチチューズデー(マイクロソフトが毎月定例で配信するセキュリティ更新)では570件の脆弱性が修正され、これまで最大だった6月の更新のほぼ3倍に達したのだ。
マイクロソフト、「CVE-2026-56155」「CVE-2026-56164」について警告
しかし、今回の更新で本当に注目すべき点は、修正数の多さではない。マイクロソフトが、2件のゼロデイ脆弱性(修正パッチの提供前に攻撃者に悪用される脆弱性)CVE-2026-56155とCVE-2026-56164について、すでに実際の攻撃に使われていると警告したことだ。そのため、Active Directory Federation Services(AD FS、マイクロソフトのフェデレーション認証サービス)とSharePoint Serverを利用している組織は、この2件への対応を最優先で進める必要がある。
マイクロソフトがゼロデイ攻撃を受けるのは、今回が初めてではない。とはいえ、現に悪用されている脆弱性を軽く見てよい理由にはならない。マイクロソフトは、2件の脆弱性がいつ、どのような手口で攻撃に使われたのか、詳細をまだ明らかにしていない。それでも、実際に悪用された事実そのものは確認済みだとしている。CVE-2026-56155はAD FSで、CVE-2026-56164はSharePoint Serverで、いずれも攻撃者が本来持たないはずの高い権限を取得できてしまう「権限昇格」の脆弱性とされている。
「CVE-2026-56155」「CVE-2026-56164」の中身
Action1で脆弱性研究ディレクターを務めるジャック・ビサーは、CVE-2026-56155を突いた攻撃が成功すると攻撃者に管理者権限を奪われ、システム全体を掌握されかねないと警告する。「認証やID(アイデンティティ)サービスにAD FSを利用している環境では、管理者レベルの権限まで侵害されると、機密性の高い業務リソースに不正アクセスされたり、重要サービスを止められたり、ランサムウェア(身代金要求型ウイルス)を展開されたり、認証情報を盗まれたりするおそれがあります。最終的には、企業インフラ全体の侵害にまで発展しかねません」。
一方、SharePoint Serverのゼロデイ(CVE-2026-56164)については、Rapid7のプリンシパルソフトウェアエンジニア、アダム・バーネットが筆者にこう語った。「悪用に成功すると、攻撃者はネットワーク経由で権限を引き上げられます。攻撃前に何らかの権限を持っている必要はなく、システムについて深い予備知識がなくても繰り返し成功させられます。つまり、攻撃のハードルは低いのです」。
最新更新プログラムを適用する際は、この2件を優先するよう推奨
こうした事情から、企業のセキュリティチームには、マイクロソフトの最新更新プログラムを適用する際、この2件を優先することが推奨されている。Automoxのディレクター、ジョン・レベンソンはCVE-2026-56155について、「深刻度スコアがもっと高いバグよりも先に、真っ先にパッチを当ててください」と促す。というのも、「数字の大きさよりも、実際に悪用されているという事実のほうが重い」からだ。レベンソンはさらに、AD FSを「ティアゼロ」(企業ITの最重要階層)のID基盤として扱い、そのサーバーにローカルでアクセスできるのは誰かを見直すよう勧める。
「認証・IDに関わる経路の残りも総点検してください」
そして、最初の1台にパッチを当てたら、「認証・IDに関わる経路の残りも総点検してください」と述べた。なぜなら、今回のような権限昇格は一連の攻撃の2段階目にあたるステップであり、これだけで攻撃が完結するわけではないからだ。優先的にパッチを当てるべきだという助言は、CVE-2026-56164にもそのまま当てはまる。レベンソンは、攻撃者がこの脆弱性で得たアクセス権を使い、すでに不正な権限を誰かに付与している可能性もあるとして、「パッチ適用後には、サイト所有者権限や昇格された権限が誰に付与されているかを監査してください」とも付け加えた。



