Microsoftは2026年6月10日(日本時間)、月例のセキュリティ更新プログラムを公開しました。修正された脆弱性は約200件超で、2003年のPatch Tuesday開始以来、単月として過去最多級です。中でもオンプレミス版Exchange ServerのCVE-2026-42897はすでに悪用が確認されており、該当組織は最優先で対応すべきです。
件数は多いものの、情シスがやることはシンプルです。「悪用されている/公開済みのもの」と「インターネットに面した重要システム」から優先して当てる。本記事で要点を整理します。
この記事でわかること
- 2026年6月の月例パッチの全体像(件数・深刻度・ゼロデイの数)
- 今すぐ対応すべき悪用中の脆弱性 CVE-2026-42897(Exchange)の中身
- 公開済み・要警戒のCVEと、件数の「数え方」の注意点
- 情シスとしての優先順位の付け方と、参照すべき公的指針
何が起きたのか
2026年6月の月例パッチでは、Windows、Office、Exchange Server、SharePoint、.NET/ASP.NET Core、Microsoft Defender、Azure関連など、広範な製品にまたがる脆弱性が一括で修正されました。IPAとJPCERT/CCもそれぞれ注意喚起を公開しています。
注目点は、単月の修正件数がPatch Tuesday史上で過去最多級に達したこと、そして合計6件のゼロデイ(うち5件が事前に情報公開済み、1件が実際に悪用が確認)が含まれていたことです。
深刻度の内訳は調査機関により若干異なりますが、おおむね「緊急(Critical)」が30件強、残りの大半が「重要(Important)」です。種別ではリモートコード実行(RCE)と権限昇格が大きな割合を占めます。
今すぐ対応すべき悪用中の脆弱性:CVE-2026-42897(Exchange)
最優先はオンプレミス版Exchange Serverのなりすまし脆弱性CVE-2026-42897です。すでに実環境での悪用が確認され、米CISAの「悪用が確認された脆弱性カタログ(KEV)」にも2026年5月15日に追加されています。
これはOutlook on the web(OWA)に関わるクロスサイトスクリプティング(XSS)に起因するもので、攻撃者が細工したメールを送り、受信者がOWAで特定の操作をすると、ブラウザ上で任意のスクリプトが実行され、なりすまし等につながり得ます。CVSSスコアは8.1(高)です。
- 影響範囲:オンプレミスのExchange Server(Subscription Edition/2019/2016)。Exchange Onlineは影響を受けません。
- 経緯:5月時点で悪用が観測され緩和策が案内され、6月の月例パッチで正式な修正が提供されました。CISAは連邦機関に5月29日までの対応を求めていました。
- 確認ポイント:自社にオンプレExchangeが残っていないか。EOL(サポート終了)製品の塩漬けや、移行途中で残った検証用サーバーが盲点になりがちです。
外部に公開されたメールサーバーは攻撃者にとって格好の標的です。該当する場合は件数の多寡に関わらず、このCVEを単独でも先に潰すべきです。
公開済み・要警戒のその他の脆弱性
悪用確認はCVE-2026-42897のみですが、攻撃に転じやすい「公開済み」や「ワーム化の懸念」がある脆弱性も押さえておきましょう。代表的なものを挙げます。
| CVE | 対象 | 位置づけ |
|---|---|---|
| CVE-2026-42897 | Exchange Server(オンプレ/OWA) | 悪用確認・CISA KEV登録。最優先 |
| CVE-2026-45657 | Windowsカーネル(TCP/IP処理) | ワーム化(自己増殖)の懸念が指摘されるRCE。要警戒 |
| CVE-2026-45586 | Windows CTFMON | パッチ前に情報が公開済み(悪用は未確認) |
| CVE-2026-49160 | Windows HTTP.sys | パッチ前に情報が公開済み(悪用は未確認) |
特にCVE-2026-45657はネットワーク経由で連鎖的に広がりかねない「ワーム化可能」と評価されており、過去のEternalBlue(WannaCry)型の被害を想起させます。内部ネットワークに広く分布するWindows端末・サーバーが対象になるため、優先的に当てたい一本です。
このほか、Windows Defenderの競合状態を悪用してSYSTEM権限のシェルを起動するとされるゼロデイ「RoguePlanet」が別途報告されています。現時点ではPoC(概念実証)段階・ローカルでの権限昇格にとどまり、CVE番号も未割り当てなど詳細は限定的です。断定はできませんが、エンドポイント防御(EDR/Defender)の挙動と更新状況を注視する材料にはなります。
「件数」はなぜ媒体ごとに違うのか
各社の報道で「198件」「200件」「203件」「208件」と数字が割れています。これは情報の食い違いではなく、数え方(集計方法)の違いです。Microsoft自身が採番したCVEだけを数えるか、Chromiumなど第三者(外部CNA)由来や再公開分まで含めるかで合計が変わります。
たとえばTenableは198件(緊急32/重要166)、ZDI(Zero Day Initiative)は208件と集計しています。実務上、合計件数そのものは行動の優先度を決めません。重要なのは「悪用されているか」「インターネットに面しているか」「Criticalか」であり、総数は『過去最多級で、まとめて当てる前提で計画を組むべき月』という温度感の把握に使えば十分です。
情シスはどうすべきか
「全部Critical、全部今すぐ」は現実には回りません。多忙な現場で破綻しないために、次の順序で考えるのが実務的です。
- 悪用確認 → 公開済み → Critical RCE の順で優先。まずCVE-2026-42897(オンプレExchange該当時)、次にワーム化懸念のCVE-2026-45657。
- インターネット境界・公開サーバーを最優先面に。メール、VPN、Web、リモートアクセス基盤から。
- 件数が多い月こそ、検証→展開のリングデプロイ(一部端末で先行検証→段階展開)で、業務影響と未適用リスクのバランスを取る。
- EOL・塩漬け資産の棚卸し。今回もオンプレExchangeのように「気づけば対象外だと思っていた資産」が刺さりがちです。
対策の進め方は、自前で長大なチェックリストを作るより公的機関の指針を土台にするのが堅実です。中小規模であればIPA「中小企業の情報セキュリティ対策ガイドライン」が、パッチ管理を含む運用の基本線を押さえています。Exchange等の個別対応はJPCERT/CCの注意喚起とMicrosoftのリリース情報を一次情報として確認してください。
あわせて、地道なユーザー教育も効きます。今回のExchangeの件のように「細工メールを開く操作」が起点になる攻撃では、不審メールを安易に操作しない啓発が一次防御として機能します。啓発資料はIPA「対策のしおり」などが利用できます。関連する脆弱性情報は脆弱性・脅威情報カテゴリもあわせてご覧ください。
現場目線の所感
毎月の月例パッチは、もはや「件数を見て身構える」ものではなくなってきた、というのが正直な実感です。200件と言われても、限られた人員ですべてを即日適用するのは不可能で、結局は『どれを先に当てるか』の判断力が問われます。
そして毎回ヒヤリとさせられるのが、今回のオンプレExchangeのような「自社にもう無いと思っていた資産」です。クラウド移行が進んでも、移行途中のサーバーや検証環境、部門が勝手に立てた基盤が残っていることは珍しくありません。台帳に載っていない資産はパッチも当たらず、悪用確認済みの脆弱性をそのまま晒し続けることになります。パッチ適用の前提は、結局のところ「自社に何があるか」を把握できているかに尽きる、と毎月思い知らされます。
まとめ
- 2026年6月の月例パッチは過去最多級の約200件超。6件のゼロデイ(5件公開済み・1件悪用確認)を含む。
- 最優先はオンプレExchangeのCVE-2026-42897(悪用確認・CISA KEV登録)。次いでワーム化懸念のCVE-2026-45657。
- 件数の総数より「悪用・公開済み・公開面・Critical」で優先順位を付ける。EOL/塩漬け資産の棚卸しを忘れずに。
