Microsoftの月次セキュリティアップデート「Patch Tuesday」が2026年6月9日(火)に予定されており、今回は60〜90件のCVE修正が見込まれる。特に、Outlook Web Access(OWA)に存在するExchange Serverの緊急スプーフィング脆弱性(CVE-2026-42897)がすでに実際の攻撃で悪用されていることが確認されており、IT管理者は速やかな対応が求められる。

先月(5月)のPatch Tuesdayをおさらい

5月のPatch TuesdayはWindows 11で65件、Windows 10で58件のCVEが修正された。Officeおよびオンライン版SharePointでは約19件のCVEが対処されており、大きな問題なく展開が完了したと報告されている。概ね標準的な月次アップデートという評価だ。

5月21日には帯域外(アウトオブバンド)リリースが1件発生している。CVE-2026-45659(SharePoint ServerのリモートコードExecute脆弱性、CVSS 8.8)への対応で、SharePoint Enterprise Server 2016・2019・Subscription Editionの3種類のKBが公開された。この修正は6月のPatch Tuesdayにも含まれる予定だ。

また5月19日には、Microsoft Defenderのマルウェア保護エンジンが動的更新され、RedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)という2つのエクスプロイトへの対処が行われた。PoC(概念実証)コードとともに公開されたため、脅威アクターによる迅速な悪用が確認されたケースだ。Defenderが最新バージョンに更新されているかを必ず確認しておきたい。

今月の最重要対応:Exchange ServerのOWA脆弱性

今月最も注意が必要なのがCVE-2026-42897だ。Outlook Web Access(OWA)内のクロスサイトスクリプティング(XSS)に起因するスプーフィング脆弱性で、CVSS 8.1の重大評価を受けており、すでに実際の攻撃への悪用が確認されている。

現時点でパッチは存在しないが、Microsoftは「Exchange Emergency Mitigation Service(緊急軽減サービス)がデフォルトで有効になっており、自動的に軽減策を提供する」と説明している。

今すぐ確認すること:

  1. Exchange ServerでEmergency Mitigation Serviceが有効になっているかを確認する
  2. 6月9日以降のパッチリリースを注視し、Exchange Server向けアップデートを優先的に適用する

Secure Bootのdbxアップデートに潜むリスク

6月のPatch Tuesdayには、Secure BootのDBX(禁止データベース)アップデートが含まれる可能性がある。これは既知の脆弱なブートローダーをブロックするためのものだが、組織内の1〜5%のシステムでブート障害が発生するリスクがあることが指摘されている。

古いハードウェアや特殊な構成のシステムで問題が発生しやすいとされており、エンタープライズ環境では以下の手順を推奨する:

  • 小規模なパイロット環境で先行展開して問題がないか確認する
  • 問題がなければ段階的にロールアウトする
  • ブート障害発生に備えた復旧手順を事前に整備しておく

MicrosoftのDriver Quality Initiative(ドライバー品質改善施策)

セキュリティ情報以外にも注目のニュースがある。Microsoftは2018年以来となるWindows Hardware Engineering Conference(WinHEC 2026)を開催し、新たな「Driver Quality Initiative(ドライバー品質イニシアティブ)」を発表した。

ドライバーの品質・信頼性・セキュリティの水準を根本から引き上げることを目標とし、ハードウェア・ソフトウェアベンダーとの協力体制を強化するという。ツールやユーティリティを提供しながらパートナー企業とともに取り組む姿勢を示しており、実際の成果として障害件数が減少するかどうか、今後の展開が注目される。

6月Patch Tuesdayのチェックリスト

対象 アクション

Exchange Server Emergency Mitigation Serviceの有効化を確認。パッチリリース後は最優先で適用

Microsoft Defender 最新バージョンへの更新確認(RedSun/UnDefend対応済みか)

Windows全般 Secure Boot dbxアップデートの有無を確認、パイロット展開を推奨

SharePoint Server CVE-2026-45659パッチ(6月ロールアップに含まれる)の適用

Adobe製品 Creative Cloud(inCopy・inDesign・Photoshop・Acrobat等)のアップデートも確認

実務への影響

日本のエンタープライズ環境でExchange Serverをオンプレミスで運用しているケースはまだ少なくない。CVE-2026-42897はOWAを介したXSS攻撃であり、外部からの攻撃者だけでなく内部ユーザーを利用した悪用シナリオも想定できる。

「パッチが出るまで待てばいい」という判断では遅い。Emergency Mitigation Serviceの有効化確認は「今日やること」だ。また、月次アップデートの展開フローとして段階的ロールアウトを導入していない組織は、今月のSecure Boot dbxリスクを契機にプロセスを見直す好機でもある。「数日様子を見る」判断がセキュリティリスクになるケースと、障害リスクを下げるために有効なケースがあることを踏まえ、展開ルールを明確にしておきたい。

筆者の見解

毎月こうした記事を書きながら感じることがある。「今動いているから大丈夫」という油断が、エンタープライズセキュリティの最大の敵だということだ。

CVE-2026-42897のようにパッチ未提供のまま積極的な悪用が確認されているケースは、「月次パッチ適用サイクル」に依存した従来の運用では本質的に対応できない。Emergency Mitigation Serviceのような仕組みを活用することが重要だが、そのサービスが有効かどうか確認すらしていない組織が多いのが実情ではないだろうか。

Driver Quality Initiativeについては、素直に期待したい。ドライバー起因のブルースクリーンやシステム障害はWindowsの長年の課題であり、2018年以来のWinHEC開催も含め、Microsoftがハードウェアエコシステムとの協力に本腰を入れようとしているなら、それは正しい方向を向いている。Windowsプラットフォームの信頼性はMicrosoft全体の信頼性でもある。実際の成果として現れてくることに期待したい。

出典: この記事は June 2026 Patch Tuesday forecast: Where are the CVEs? の内容をもとに、筆者の見解を加えて独自に執筆したものです。