Windows 11 2026年6月Patch Tuesday：Secure Boot大規模刷新とゼロデイ2件を含む78脆弱性を修正

Microsoftは2026年6月9日（日本時間6月10日）のPatch Tuesdayにおいて、Windows 11向けに78件の脆弱性修正を含む累積更新プログラムをリリースする。今月のリリースはSecure Bootインフラの大規模刷新を中心とした重量級のセキュリティアップデートであり、企業環境では慎重な計画と事前準備が必要となる。

今月のセキュリティ全体像：ゼロデイ2件に注目

78件の脆弱性のうち12件がCritical評価であり、うち2件はゼロデイとして既に悪用が確認または公開済みだ。

CVE-2026-34591（Secure Bypassバイパス） は、物理アクセスまたは管理者権限を持つ攻撃者がブート時に未署名コードをロードできる脆弱性。さらに、カーネル権限昇格のバグ（CVE-2026-34592）と組み合わせて連鎖攻撃として企業・政府機関を標的にした実攻撃が観測されている。このチェーン攻撃は深刻だ。

CVE-2026-34603（NFS サービスの RCE） は、認証なしに細工したNFSパケットを送り込むだけでシステムを乗っ取れる重大な脆弱性。NFS を活用した混在環境（LinuxとWindowsの併用）を持つ組織は最優先で対応すべきだ。

CVE-2026-34615（Print Spoolerの権限昇格） も対応が必要。PrintNightmareを思い起こさせる類の問題で、Spooler関連の脆弱性はここ数年繰り返し登場している。

Secure Boot：今月の最重要テーマ

今月のリリースで最も注目すべきは、Secure Boot禁止署名データベース（DBX）の大規模更新だ。BlackLotusを含むUEFIブートキット攻撃に悪用されたブートローダーや、国家支援型攻撃キャンペーンで使われたとされるブートマネージャーの証明書が新たに失効リストへ追加される。

管理者が注意すべき二段階の適用フロー

• Windowsの累積更新プログラム（KB5040442）を適用する
• 続いてOEM（デバイスメーカー）からのUEFIファームウェアアップデートを適用する

重要なのは、DBX更新はファームウェアレベルで強制適用されるという点だ。つまり、失効した証明書で署名されたブートコンポーネントは物理的に起動できなくなる。

特に影響を受ける可能性があるもの

• Windowsの回復メディア（古い署名の場合、ブート不能になるおそれがある）
• デュアルブート構成（特にLinuxのGRUBブートローダーが失効証明書を使っているケース）
• ドライバーインストールディスク

Microsoftはブート可能なメディアを最新の署名証明書で更新してから、ファームウェアアップデートを適用するよう推奨している。新しいユーティリティ bootsect.exe を使えば、既存メディアの互換性スキャンが可能だ。

新機能：Ultra-Low Latency Modeなど

セキュリティが主役の今月だが、機能追加も含まれる。

• Ultra-Low Latency Mode：設定 > システム > 電源の新しい電源プロファイル。DPCレイテンシーの15〜20%低下、フレーム時間安定性の向上が見込まれ、競技ゲームやリアルタイム音声・映像制作向けに設計されている
• Shared Audio：1台のPCで2人が同時に別々の音声を聴ける機能（元記事の要約より）
• Task Manager NPU統合：NPUリソースの可視化

実務への影響：日本のIT管理者が今すぐやること

今週中に確認すべき事項：

• デュアルブート環境の棚卸し：Linux共存環境がある場合、GRUBのバージョンと署名状況を今すぐ確認する
• 回復メディアの再作成：Windows PE や WinRE ベースの回復USBは、パッチ適用前に最新メディアに作り直しておく
• NFS利用の有無を確認：CVE-2026-34603の影響を受けるNFSサービスが有効になっている端末・サーバーをリストアップする
• Print Spoolerの無効化検討：プリント不要なサーバーではSpoolerを無効化するのが長期的なベストプラクティス

段階的展開を推奨： 今回は特にSecure Boot DBX更新という「一方通行の変更」が含まれる。テスト環境で先行適用し、デュアルブートや回復メディアへの影響がないことを確認してから本番展開に移るのが安全だ。

筆者の見解

正直に言えば、Windowsを細かく追い続けることの意味は年々薄れていると感じる。とはいえ、Secure Boot強化のような取り組みは「やるべきことをやっている」と素直に評価できる。BlackLotusに代表されるUEFIブートキット系の脅威は国家支援型攻撃でも実際に使われており、ファームウェアレベルでの対策強化は正しい方向だ。

ただし、今回は「更新を当てれば終わり」ではないことを強調したい。DBX更新という性質上、適用後に既存のブートメディアが使えなくなるリスクがある。「今動いているから大丈夫」は通用しない典型例だ。事前準備なしに展開して問題が起きてからでは遅い。

一方で、数日様子を見ながら他社の動向を確認してから当てる判断も、これだけ複雑な更新の場合は立派なリスク管理だと思う。ゼロデイが含まれているからといって、準備なしに慌てて適用して環境を壊してしまっては本末転倒だ。テスト → 検証 → 段階展開のサイクルを、今こそ丁寧に回してほしい。

Print Spoolerの問題が今月も登場しているのはため息が出るところで、Microsoftにはこのあたりの根本的なアーキテクチャ上の解決に力を入れてほしいと思う。ブランドとユーザーベースの力があるのだから、小手先の修正の繰り返しではなく正面から勝負できるはずだ。

出典: この記事は Windows 11 June 2026 Patch Tuesday (June 9): Secure Boot & Key New Features の内容をもとに、筆者の見解を加えて独自に執筆したものです。