マイクロソフト、6月のWindowsアップデートで過去最多の206件バグを修正：うち3件はゼロデイ脆弱性も含まれる

マイクロソフトは、毎月実施する「パッチ・チューズデー」による6月のWindowsアップデートにおいて、記録的な206件ものセキュリティ脆弱性を修正したと発表しました。これは近年の歴史上最大規模のバグ修正となり、ユーザーに対して常に適用を推奨されています。

今回の更新では、特に注目すべき点として、32件が「クリティカル（重要度高）」な評価を受けており、さらにそのうち3件は「ゼロデイ脆弱性」が含まれています。ゼロデイとは、一般に公開されたものの、まだ実環境で悪用されていない脆弱性を指します。このため、パッチ適用を怠ると攻撃者に利用されるリスクが高まります。

バグ修正の件数については、セキュリティプロバイダーTenableなどが算出する198件と、これに加え既に対処済みや非マイクロソフト認証局（CNA）によるCVEを含めた206件という二つの数字が提示されています。いずれにせよ記録的な数値です。

このバグ修正の急増は、「AIを活用した脆弱性研究」という広範なトレンドを反映していると指摘されています。Anthropic社のClaude MythosのようなAIモデルが、以前よりも遥かに速いペースで欠陥を発見し、修正に役立っているためです。実際にMozilla社もAIの支援を受けて多数のバグを修正しています。

具体的なゼロデイ脆弱性について、1つはファイルへのリンク処理における権限昇格の可能性があり、組織にとって懸念されるもう一つはHTTP経由でのサービス拒否（DoS）攻撃を可能にするものであり、残りの一つは物理的にアクセスされた未パッチPCから暗号化データを盗むことを可能にするBitLockerの欠陥です。

また、今回のアップデートではWindows 11向けに複数の新機能が追加されています。これには、古いSecure Boot証明書の更新対応に加え、「低遅延プロファイル（Low Latency Profile）」による処理速度向上機能や、複数のBluetoothデバイスを同時に接続できる共有オーディオデバイスサポートなどが含まれます。さらに、ウェブカメラがZoomやGoogle Meetなど複数のアプリで自動的に利用可能になった点や、ユーザーフォルダ名のカスタム設定が可能になった点も利便性の向上に繋がります。

---

背景

マイクロソフトの「パッチ・チューズデー」は、毎月特定の曜日にセキュリティアップデートを公開する定例的なプロセスです。通常、これらの更新には多数のバグ修正が含まれますが、今回の206件という記録的な数は、AI技術の進化による脆弱性発見能力の向上という現代的な背景を反映しています。

重要用語解説

• ゼロデイ脆弱性: まだ一般に知られていない、またはパッチが適用されていない脆弱性のことです。公開された直後から悪用されるリスクが高く、緊急の対応が必要です。
• CVE (Common Vulnerabilities and Exposures): 世界中のセキュリティ専門家が使用する、既知の脆弱性を識別するための共通リスト（番号）です。これにより、どのシステムにどのような欠陥があるかを明確に特定できます。
• パッチ・チューズデー: マイクロソフトなどが毎月特定の曜日に大規模なセキュリティアップデートを公開する習慣的な日を指します。ユーザーは常にこのタイミングでの更新が推奨されます。

今後の影響

記録的なバグ修正の規模は、サイバー攻撃の複雑化と高度化が進んでいることを示しています。企業や個人は、これらのパッチを速やかに適用することが必須となり、セキュリティ対策の自動化・徹底がより重要になります。AIによる脆弱性発見が標準化する流れも加速すると予想されます。