Microsoftが2026年6月9日に配信したWindows向け累積更新「KB5094126」は、208件のセキュリティ脆弱性を修正する大型のPatch Tuesdayとなった一方、ごみ箱の表示異常やBitLockerロックアウトといった複数の不具合を引き起こしている。影響はWindows 11の26H1・25H2・24H2・23H2からWindows 10 22H2、各種LTSC/LTSBエディション、Windows Server 2012〜2025まで、対応する全バージョンに及ぶ。Microsoftは6月18日にごみ箱の不具合を公式に認めたが、修正版の配信は7月14日まで持ち越しとなった。

何が起きたのか——ごみ箱の「$R4ABC12」問題

最も目立つ症状は、ファイルを完全削除しようとした際の確認ダイアログだ。本来表示されるべきファイル名の代わりに、「$R4ABC12」のような内部識別子がそのまま表示されてしまう。ごみ箱の一覧表示や、実際に復元した際のファイル名は正しいままなので実害は限定的だが、「どのファイルを消そうとしているのか確認できない」状態は、大量のファイルを扱う業務では地味に厄介だ。

Microsoftの説明によれば、原因はセキュリティ強化そのものにある。Windows Shellのdesktop.ini処理部分に23年間存在していたバッファオーバーフロー系の脆弱性を塞ぐ修正を今回投入したところ、その副作用として、内部識別子と人間が読めるファイル名を対応付けるメタデータの読み込みが正しく行われなくなった。脆弱性を塞ぐ方向性自体は間違っていない。むしろ長年放置されていた穴を埋めた点は評価すべきだが、検証不足のまま全バージョンに配信してしまったことが今回の問題を大きくした。

より深刻な副作用——BitLockerロックアウトとOneDrive障害

ごみ箱よりも業務影響が大きいのが、BitLockerまたはDevice Encryptionを有効化した法人PCで報告されている、起動直後にBitLocker回復画面へ直行してしまう症状だ。HP EliteBook 840 G10やHP ProBook 460 G11、一部のDell Precisionノートなどで集中して確認されており、新しいSecure Boot証明書の扱いが古いファームウェアと衝突しているとみられる。Microsoftアカウントに紐付いておらず回復キーが自動バックアップされていない端末では、Active DirectoryやAzure ADから手動でキーを取り出さない限り実質的に使用不能になる。

このほか、ドメイン参加PCでOneDriveのショートカットは表示されるのにクリックすると中身が空になる不具合(UAC無効化とローカル管理者権限の組み合わせが引き金とみられる)、起動5分以内のフリーズ、LAN接続断(インターネット接続は生きたまま)、歯科・会計・医療系の基幹業務アプリでのWord自動化の不具合なども報告されている。

「AI生成コード」説の浮上と実態

不具合の広がりを受けて、RedditやXでは「AIが書いたコードの品質低下ではないか」という憶測が再燃している。背景にあるのは、Satya Nadella CEOがMicrosoftのコードの約3割がすでにAI生成であると明かしたことだ。「vibe coding」という言葉が、Windowsの不具合が出るたびに原因説明として持ち出されるようになっている。ただし今回のKB5094126の不具合とAI支援開発を結びつける根拠をMicrosoftは示しておらず、少なくともごみ箱の不具合は前述の通り明確な技術的原因が特定されている。憶測だけで結論を急ぐべきではない。

実務への影響

IT管理者にとっての最優先事項は、BitLocker回復キーのバックアップ状況の総点検だ。Microsoftアカウント連携やAzure AD参加をしていない端末では、Active DirectoryまたはAzure AD/Intune側にキーが確実にエスクローされているかを、今回のような更新を当てる前に確認する運用に切り替えたい。あわせて、パイロットグループでの数日〜1週間の様子見期間を設けてから全社展開するリングデプロイの徹底も効果的だ。歯科・会計・医療系など特定業務アプリを使う部門では、Patch Tuesday適用前の業務影響テストを標準プロセスに組み込む価値がある。

筆者の見解

正直なところ、208件もの脆弱性を一度に塞いだこと自体はMicrosoftの本気度の表れで、23年物の穴をようやく埋めた判断も評価したい。ただ、それだけの規模の変更を検証しきれずに全バージョン・全エディションへ同時展開してしまったのは、応援する立場から見てももったいない。BitLockerロックアウトのように「端末が実質的に使えなくなる」レベルの不具合は、セキュリティ強化の本来の目的である「安全に使い続けられること」と真っ向から矛盾してしまう。

「AI生成コードが原因では」という憶測が飛び交う状況そのものも、Microsoftにとっては軽視できないシグナルだと思う。真偽はともかく、そう疑われてしまう時点で、品質保証プロセスへの信頼が揺らいでいる証拠だからだ。ここは正面から検証体制を語れる材料を示してほしい。

実務的な教訓はシンプルだ。「すぐ当てたら壊れた」という報告が増えている以上、Patch Tuesday当日に全社へ即時展開するのではなく、数日様子を見てから展開する判断は、決して臆病なのではなく立派なセキュリティ判断だと筆者は考えている。


出典: この記事は Microsoft’s June update fixed 208 security flaws and introduced a cascade of new bugs across all Windows versions の内容をもとに、筆者の見解を加えて独自に執筆したものです。