Microsoftは現地時間7月14日、月例セキュリティ更新プログラム「Patch Tuesday」を公開する。事前予測では修正件数は100〜140件程度とみられ、記録的だった6月の206件からは落ち着くものの、2026年を通じて続く高水準は変わらない見通しだ。さらに同日は、レガシー暗号方式「RC4」を使ったKerberos認証を強制的に無効化する第2フェーズの完了期限とも重なり、ドメイン参加環境で認証エラーが多発するリスクが警告されている。
6月の206件から本来のペースへ、それでも高水準は続く
6月のPatch TuesdayではWindows 11向けに116件、Windows 10向けに104件を含む合計206件のCVEが公開され、Office・SharePoint Server・Visual Studio・.NETなど開発ツール群にも修正が及んだ。これだけの規模にもかかわらず、緊急パッチにあたるOOB(Out-of-Band)リリースは今月発生しておらず、Windows Server 2016の更新不具合修正や、ごみ箱に内部ファイル名が表示される軽微な表示バグへの対応にとどまっている。
もう一つの山場——Kerberos RC4強制廃止の完了期限
7月14日は、老朽化した暗号方式RC4を用いたKerberos認証を段階的に排除する取り組みの第2フェーズが完了する期限でもある。ドメインコントローラーやレガシーアプリケーションでRC4依存が残っている環境では、この期限を境に認証エラーが顕在化する可能性が高い。パッチ適用と認証方式の見直しという2つの作業が同じタイミングで発生するため、IT管理者にとっては負荷の高い1週間になりそうだ。
RoguePlanetゼロデイとランサムウェアに悪用されるBlueHammer
研究者Nightmare-Eclipseが新たに公表したゼロデイ「RoguePlanet」(CVE-2026-50656)は、Microsoft Defenderに存在するレース コンディション型の権限昇格の脆弱性で、GitHub上のPOC(概念実証)コードを使うとSystem権限のシェルを取得できるという。Defenderを標的とした脆弱性報告はここ最近続いており、緊張関係が続いている。加えてCISAは、既に修正済みの脆弱性「BlueHammer」がランサムウェアの攻撃に悪用され始めていると発表しており、次の攻撃対象になる前にパッチ適用状況を再確認しておく必要がある。
Windows 11 26H2がInsiderへ、Windows 10 ESUは無償で1年延長
Microsoftは、次期機能更新版「Windows 11 26H2」をWindows Insiderの開発チャネルで提供開始したと発表した。24H2・25H2と同じサービスチャンネルに属するため、Enablement Package(有効化パッケージ)による軽量な更新が可能で、OS丸ごと入れ替えが必要な23H2以前からの移行に比べて負荷が小さい。なお26H1は同じサービスチャンネルには含まれず、カーネルも異なるため、別途の更新経路が用意される予定だ。また、コンシューマー向けWindows 10の無償ESU(拡張セキュリティ更新プログラム)提供が2027年10月まで1年延長されたが、企業向けは一部例外を除き引き続き有償サブスクリプションが必要となる。
CVE個別追跡はもう限界か——業界全体の潮目
脆弱性発見にAIが本格活用され始めたことで、パッチ管理業界全体の前提が揺らいでいる。Adobeは、月1回だった定例セキュリティリリースを月2回体制に切り替えると発表した。直前にはColdFusionの6件の脆弱性(最大CVSS 10.0)をまとめて修正したばかりで、Adobe自身も「月1回の公開サイクルではもはや攻撃者に追いつけない」と説明している。同様の動きはGoogleにも見られ、Chrome 150では433件ものセキュリティ修正が一度に行われた。AppleもOSの更新頻度を年間を通じて増やす方針へと転換しつつある。もはやCVEを1件ずつ追跡管理する手法自体が現実的でなくなりつつあり、現場では「個別のCVEを追うより、ベンダーの最新リリースを可能な限り早く当てる」という運用へのシフトが進んでいる。
実務への影響
日本企業のIT管理者にとって、今回のPatch Tuesdayは単なる「月例パッチ」以上の重みを持つ。まずKerberos RC4廃止の期限は、レガシーな業務システムやドメインコントローラーを多く抱える大企業ほど影響が大きい。事前に自環境でRC4依存の有無を棚卸ししておかないと、パッチ適用日当日に認証障害という形で表面化しかねない。また、CVE個別追跡が限界を迎えつつあるという指摘は、日本の現場にもそのまま当てはまる。四半期ごとの棚卸し型のパッチ管理では、もはやこのペースについていけない。WSUS・Intune・Azure Update Managerなどを使った自動適用の比率を上げ、「重大な脆弱性を手動で選別してから当てる」運用から、「まず当てて、問題が起きたものだけ手動対応する」運用へと発想を転換すべき局面に来ている。
筆者の見解
CVEを1件ずつ真面目に追いかける時代はもう終わりつつある、というこの記事の指摘には強く同意する。情報を追いかけること自体を目的化しても、脆弱性の発見ペースにAIが本格的に使われ始めた以上、人間が全件を精査して優先順位をつけるやり方は遠からず破綻する。ここは「まず当てる、問題が起きたら対処する」という運用に振り切る勇気が必要な局面だと思う。
Kerberos RC4の強制廃止についても、方向性としては正しい。認証層に古い暗号方式を残しておくこと自体が最大のリスクであり、常時アクセス可能な弱い認証経路をなくしていく取り組みはゼロトラストの発想そのものだ。とはいえ、実際にこの期限で認証障害を出す企業が一定数出てくるだろうことも予想がつく。Microsoftには、廃止の判断自体は応援したいが、影響を受ける環境の可視化ツールやロールバック手順の周知にもう一段の力を入れてほしい。せっかく正しい方向に舵を切っているのだから、現場が混乱せずについていける形で進めてもらいたいところだ。
出典: この記事は July 2026 Patch Tuesday forecast: Is CVE tracking still practical? の内容をもとに、筆者の見解を加えて独自に執筆したものです。