title: "Microsoftの2026年6月パッチが過去最大級|約200件のCVEから何を優先して当てるか" description: "2026年6月のMicrosoft月例更新は約200件のCVEを修正する過去最大級の規模。悪用中のゼロデイとHTTP.sys関連のCVSS9.8級RCEをどう優先するか、情シス・システム運用・CISO向けに判断軸と適用チェックリストを整理する。" keyword: "Microsoft 6月 パッチ Patch Tuesday ゼロデイ 優先 CVE 2026" slug: "microsoft-june-2026-patch-tuesday-priority-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["Microsoft","パッチ","Patch Tuesday","ゼロデイ","脆弱性管理"] author: "GXO株式会社" lead_summary: "約200件のCVEを一度に当てるのは現実的でない。悪用中・CVSS高・RCEの3軸で優先順位を決める。"
Microsoftの2026年6月パッチが過去最大級|約200件のCVEから何を優先して当てるか
結論:全部を同時に当てるのは無理。優先軸は「悪用中・CVSS高・ネットワーク越しRCE」
2026年6月のMicrosoft月例セキュリティ更新(Patch Tuesday)は、報道によると約200件のCVEを修正する過去最大級の規模になった。集計値は情報源によって幅があり、198件前後から200件超まで報告されているが、いずれにせよ「一晩で全部当てる」前提では運用が回らない規模である。
情シスやシステム運用、CISOが最初に判断すべきは「どれから先に当てるか」だ。優先軸は次の3つに集約できる。
押さえるべき3点:
- 悪用が確認されている(exploited in the wild) ものを最優先する
- CVSSが高い ものを次に置く
- 認証不要でネットワーク越しに遠隔コード実行(RCE)できる ものを、外部公開資産から先に当てる
JPCERT/CCは2026年6月10日付で月例更新に関する注意喚起を公開し、悪用の事実が確認された脆弱性として Microsoft Exchange Serverのなりすましの脆弱性(CVE-2026-42897) を挙げている。これは5月14日に公表されていたもので、すでに攻撃に使われている。Exchangeを自社運用している組織は、約200件のうちまずこれを当てる対象として扱うべきだ。
なお、悪用が確認された脆弱性として別のCVEを挙げる海外ベンダーの集計もある。攻撃に使われている脆弱性の範囲は情報源で異なるため、自社環境に該当する製品を軸に、公式情報(MSRC)とJPCERT/CC・IPAの注意喚起を突き合わせて確定することを推奨する。優先順位付けの前提となる外部公開資産の棚卸しは、セキュリティの脆弱性診断で公開資産を可視化すると、当てる順番の判断が早くなる。月例更新に追いつけず後手に回る構図は、連載セキュリティ失敗図鑑でも繰り返し扱っている。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
なぜ「件数が多いほど混乱する」のか
過去最大級という言葉に引きずられて、すべてのCVEを横並びで眺めると、かえって着手が遅れる。脆弱性は等しく危険ではないからだ。
| 性質 | リスクの重さ | 着手の目安 |
|---|---|---|
| 悪用が確認済み | 最高。攻撃が現実に進行中 | 即時。検証より先に外部公開資産から |
| 認証不要のRCE(CVSS高) | 高い。踏み台化・侵入の起点になる | 数日以内。外部公開→内部の順 |
| 認証ありRCE・権限昇格 | 中。侵入後の被害拡大に使われる | 計画的に。検証後に展開 |
| 情報漏えい・DoS(CVSS中以下) | 低〜中。文脈次第 | 通常の月次サイクルで |
件数が増えても、この4段階に仕分けてしまえば「先頭の2行」だけで初動が決まる。重要なのは、全件評価を待ってから動くのではなく、悪用中とCVSS高だけを先に切り出す ことだ。
HTTP.sys関連のRCEは「外部公開しているか」で扱いが変わる
今回の更新では、WindowsのHTTP処理を担う HTTP.sys に関連する脆弱性が複数報告されている。HTTP.sysはWindows上でHTTPリクエストを受ける中核コンポーネントで、IISや多くのWeb系サービスの土台になっているため、ここに穴があると影響範囲が広い。
報道・各セキュリティベンダーの分析によると、HTTP.sys関連にはCVSS9.8級の遠隔コード実行(RCE) として扱われているものがあり、認証不要・利用者操作不要で悪用され得ると指摘されている。一方で、HTTP.sysの脆弱性をサービス拒否(DoS)寄り・より低いCVSSとして整理する集計もあり、個別のCVE番号と深刻度の対応は情報源によって割れている。
そのため、自社対応では「どのCVE番号か」を断定する前に、次の問いで優先度を決めるのが実務的だ。
- HTTP.sys(IIS / .NET / Windowsの内蔵HTTPスタックを使うサービス)をインターネットに公開しているか
- そのサーバーは境界の外から直接到達できるか(WAF・リバースプロキシの内側か外側か)
- 該当サーバーが落ちる・乗っ取られると事業がどれだけ止まるか
インターネットに直接公開しているHTTP.sys系のサーバーがあるなら、CVSSや番号の細部を待たず、最優先群として当てる判断が妥当だ。逆に内部限定なら、悪用中の脆弱性を先に処理してから計画的に展開してよい。個別CVEの最終的な深刻度は、必ず各ベンダーのセキュリティ更新ガイド(MSRC)で確認する。
大量パッチを安全に当てる優先順位チェックリスト
約200件規模の更新を「事故なく・早く」当てるための実務チェックリストである。上から順に処理する。
- 資産の棚卸し:Exchange、IIS、HTTP.sysを使う公開サーバー、ドメインコントローラ、業務基盤を先に特定する
- 悪用中CVEの抽出:JPCERT/CC・IPAの注意喚起とMSRCで、自社製品に該当する「悪用確認済み」を切り出す
- 外部公開資産の優先:インターネットから到達できる資産の認証不要RCEを最優先群に置く
- 暫定緩和の検討:即時適用が難しい場合、公開停止・アクセス制限・WAFルールなど一時緩和を当てる
- 検証環境で先行適用:本番と同構成のステージングで再起動・互換性・サービス起動を確認する
- 段階展開:影響の小さい群→重要資産の順に、ロールバック手順を用意して展開する
- 再起動と稼働確認:適用後の再起動漏れ・サービス未起動・証跡(適用ログ)を確認する
- 取りこぼし監査:適用状況を一覧化し、未適用ホスト・例外資産を残さない
- 記録の保全:いつ・どのKB/CVEを・どの資産に当てたかを監査用に記録する
このうち特に抜けやすいのが「外部公開資産の特定」と「適用後の再起動・稼働確認」だ。台数が多い月ほど、当てたつもりで再起動が漏れ、結果として未適用のまま残るホストが出やすい。
FAQ
Q. 約200件すべてを今すぐ当てる必要がありますか。 A. 必要ありません。悪用が確認されている脆弱性と、外部公開資産の認証不要RCEを先に当て、残りは検証のうえ通常の月次サイクルで展開するのが現実的です。全件同時適用は互換性事故のリスクを上げます。
Q. CVEの件数が情報源によって違うのはなぜですか。 A. Microsoftが後から追加・修正するもの、Chromiumなど他コンポーネント由来分の数え方、集計時点の違いなどで前後します。件数の正確さより、自社製品に該当する深刻なものを取りこぼさないことが重要です。
Q. 悪用中の脆弱性はどう見分ければよいですか。 A. MicrosoftのMSRC、JPCERT/CC、IPA、CISAのKnown Exploited Vulnerabilities(KEV)カタログを突き合わせます。今回はJPCERT/CCがExchange Serverのなりすましの脆弱性を悪用確認済みとして挙げています。
Q. すぐに当てられないサーバーはどうすればよいですか。 A. アクセス制限、公開停止、WAFやリバースプロキシでの遮断などの暫定緩和を先に適用し、適用計画とロールバック手順を用意したうえで展開します。緩和も適用も難しい場合は、外部からの到達経路を断つことを優先します。
Q. 毎月この規模を運用で回しきれません。 A. 月例更新の規模は今後も大きくなる傾向です。資産棚卸し・優先順位付け・検証・展開・取りこぼし監査を仕組みとして回せないなら、継続的なパッチ運用をセキュリティ顧問(リテイナー)として外部に持たせる選択肢があります。
この記事を読むべき人
- Windows Server・Exchange・IISを自社で運用している情シス/システム運用担当
- 外部公開しているWebサーバー・APIの脆弱性対応の優先順位に迷っているインフラ担当
- 月例更新のたびに適用作業が属人化し、取りこぼしが不安なCISO・情報セキュリティ責任者
- 「件数が多い月」にどこから手をつけるかの判断軸を社内で標準化したい責任者
GXOに相談すべきタイミング
- 過去最大級の更新が来るたびに、社内だけでは優先順位付けと適用が回らない
- 外部公開資産(Exchange、IIS、VPN、API)の脆弱性対応が後手に回っている
- 「当てたつもり」で再起動漏れ・未適用ホストが残り、棚卸しができていない
- 脆弱性対応を担当者の手作業ではなく、運用の仕組みとして定着させたい
GXOでは、脆弱性診断で外部公開資産の現状を可視化し、セキュリティ顧問(リテイナー)として月例更新の優先順位付けから適用・取りこぼし監査までを継続支援する。単発の診断だけでなく、毎月のセキュリティ運用を仕組み化したい組織に向く。
優先順位付けチェックリストは資料としても使える。実務チェックリストなどの資料をダウンロードから入手できる。
関連記事
関連リンク
参考資料
- JPCERT/CC「2026年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」 https://www.jpcert.or.jp/at/2026/at260017.html
- IPA「Microsoft 製品の脆弱性対策について(2026年6月)」 https://www.ipa.go.jp/security/security-alert/2026/0610-ms.html
- Microsoft Security Response Center「2026年6月のセキュリティ更新プログラム(月例)」 https://www.microsoft.com/en-us/msrc/blog/2026/06/202606-security-update
- CISA「Known Exploited Vulnerabilities Catalog」 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
本記事は2026年6月25日時点の公開情報をもとに作成。CVE件数・個別の深刻度・悪用状況は情報源により幅があるため、対応にあたっては各ベンダーのセキュリティ更新ガイド(MSRC)および公式注意喚起を必ず確認すること。
「当てたつもり」で未適用ホストを残す前に、月例更新を仕組みで回しませんか
GXOでは、外部公開資産の脆弱性診断と、毎月のパッチ運用(優先順位付け・適用・取りこぼし監査)を継続支援します。属人化した適用作業を、再現性のある運用に変えます。
※ Exchange・IIS・公開Webサーバーの棚卸しが未整理でも相談可
