Microsoft が 2026年6月4日、Microsoft 365 Copilot のリモートコード実行(RCE)脆弱性 CVE-2026-45497(CVSS 7.7)と、Exchange Online の情報漏洩脆弱性 CVE-2026-48579(CVSS 9.1)を開示した。両脆弱性とも開示時点ですでにサービス側での修正が完了しており、ユーザー側でのパッチ適用は不要だ。

今回開示された脆弱性の内容

今回公開されたのは「June 2026 Early Security Updates」と呼ばれる、月例 Patch Tuesday に先行するクラウドサービス向けの早期セキュリティ更新パッケージだ。9件の CVE が含まれ、うち以下の2件が金融機関にとって特に注目すべき内容だった。

CVE-2026-45497(CVSS 7.7 / 重要)

Microsoft 365 Copilot のリモートコード実行脆弱性。根本原因はコマンドインジェクションで、公開されたベクターには「S:C(スコープ変更)」フラグが含まれている。これは、攻撃に成功した場合に Copilot サービスの境界を越えて Microsoft 365 の他のコンポーネントへ影響が及びうることを意味する。単体サービスの誤動作にとどまらない、より広範な影響を持つ欠陥だった。

CVE-2026-48579(CVSS 9.1 / 緊急)

Microsoft Exchange Online の情報漏洩脆弱性。CVSS 9.1 という高いスコアが示すように、悪用された場合の影響は深刻だ。メールや添付文書など機密性の高い情報が対象となりうる。

両脆弱性とも、Microsoft 側のサービス修正はすでに完了しており、テナント管理者や IT 部門が個別に適用するパッチは存在しない。

「パッチ不要」はゴールではなく出発点

クラウドサービスの脆弱性対応は、オンプレミスのそれとは構造が根本的に異なる。Microsoft はクラウドサービスを自社で運営しているため、CVE を公開する前に修正をサービス側に適用し、後から透明性のために CVE として記録する。これが「Early Security Updates」という名称の意味するところだ。

比較として、2026年5月の Patch Tuesday では Netlogon や DNS の修正を実際のサーバーに手動で適用する必要があった。今回はその逆で「修正はすでに終わっている。CVE はその記録だ」という性質のものだ。

しかし銀行・信用金庫・住宅ローン会社など規制対象の金融機関にとって、「パッチ不要」は会話の終わりではなく始まりに過ぎない。

金融機関が直視すべき3つの問い

1. どの業務でCopilotが使われているか把握できているか

Copilot はすでに融資担当者・引受担当者・コンプライアンスチームの日常業務に入り込んでいる。メール要約、社内メモ作成、ローン書類の整理といった業務がその代表例だ。この「業務の中心にいるアシスタント」に RCE 脆弱性が存在していたという事実は、規制当局への説明責任の観点からも看過できない。

2. 悪用された痕跡がないか確認したか

脆弱性は修正済みだが、修正前の期間に悪用されていなかった保証はない。Unified Audit Log のレビュー、異常な Copilot 操作のモニタリング、テナント全体での不審なアクティビティの確認は、このタイミングで実施しておくべき作業だ。

3. ガバナンス文書を更新できるか

規制対象の金融機関では、重大な脆弱性の開示後にリスクアセスメントや BCP・DRP 文書の更新が求められることがある。「修正済みだから何もしなかった」という記録ではなく、「影響評価を実施し問題がないことを確認した」という記録を残すことが、監査対応上も重要だ。

実務アクションリスト

アクション 優先度 担当

Unified Audit Log で異常な Copilot アクティビティを確認 高 M365 管理者

CVE-2026-45497 / CVE-2026-48579 を社内インシデント管理システムに記録 高 セキュリティ担当

リスクアセスメント文書の更新(規制対象組織) 高 コンプライアンス担当

Copilot の利用範囲・権限設定の棚卸し 中 M365 管理者

監査ログの保持期間が規制要件を満たしているか確認 中 セキュリティ担当

筆者の見解

「パッチ不要」という言葉を聞いて安心してそのまま流してしまうのは、忙しい現場では仕方のないことかもしれない。しかし今回、特に金融機関の文脈ではそれでは不十分だ。

CVE-2026-45497 のスコープ変更フラグは、単なる Copilot の誤動作ではなく Microsoft 365 全体に波及しうる性質の欠陥だったことを示している。融資書類やコンプライアンス情報を日常的に扱うツールにこのような脆弱性が存在していたという事実は、利用組織にとって「知らなかった」では済まない。

Microsoft がサービス側で修正し、透明性のために CVE を公開するというプロセス自体は適切だと思う。ただ、その先の仕事——検知体制の整備とガバナンス記録の更新——は利用側がやるしかない。「クラウドだから全部任せておけばいい」は、規制対象業務では通用しない発想だ。

Copilot が金融機関の中核業務に深く入り込んでいる現状を踏まえると、このツールに対するセキュリティ監視の枠組みを今一度整理し直す良い機会でもある。良いものは良い、注意すべきは注意すべき——その姿勢でしっかり向き合ってほしい。

出典: この記事は Microsoft 365 Copilot RCE: What the June 2026 Security Updates Mean for Banks の内容をもとに、筆者の見解を加えて独自に執筆したものです。