Microsoft、2026年6月の「Windows Update」を実施～脆弱性は過去最多の208件、悪用されているものも／“緊急”の脆弱性は38件、OSやOffice、Exchange、Copilot、Azureなどに影響

Microsoft、2026年6月の「Windows Update」「Microsoft Update」を実施

米Microsoftは6月9日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで208件の脆弱性が新たに対処されている。

このうち、すでに悪用が確認されている 脆弱性は以下の通り。深刻度は4段階中2番目の「Important」（重要）にとどまるが、できるだけ早い対処が必要だ。

・CVE-2026-41091：Microsoft Defender の特権の昇格の脆弱性

また、以下の3件はパッチ公開の時点で詳細が一般に公開されている。悪用のリスクがあるため、警戒が必要。

・CVE-2026-49160：HTTP.sys のサービス拒否の脆弱性（重要）

・CVE-2026-50507：Windows BitLocker のセキュリティ機能のバイパスの脆弱性（重要）

・CVE-2026-45586：Windows Collaborative Translation Framework（CTFMON）の特権昇格の脆弱性（重要）

深刻度が最高の「Critical」（緊急）と評価された脆弱性は、以下の38件。OSや「Office」、「Exchange」、「Copilot」、「Azure」製品などに影響する。できるだけ早い対処を心掛けたい。

・CVE-2026-45648：Active Directory Domain Services のリモートでコードが実行される脆弱性

・CVE-2026-48567：Azure HorizonDB の特権昇格の脆弱性

・CVE-2026-32193：Microsoft Azure Kubernetes Service のリモートでコードが実行される脆弱性

・CVE-2026-47644：Copilot Chat (Microsoft Edge) の情報漏えいの脆弱性

・CVE-2026-45476：Linux カーネル用 Microsoft MANA ネットワークドライバーの特権昇格の脆弱性

・CVE-2026-42824：M365 Copilot の情報漏えいの脆弱性

・CVE-2026-45497：Microsoft Copilot のリモートでコードが実行される脆弱性

・CVE-2026-33828：Microsoft Azure Attestation サービスおよび Device Health Attestation サービスの特権昇格の脆弱性

・CVE-2026-48579：Microsoft Exchange Online の情報漏えいの脆弱性

・CVE-2026-47655：Microsoft Graph の情報漏えいの脆弱性

・CVE-2026-45456：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45458：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45461：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45463：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45472：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45474：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-47635：Microsoft Office のリモートでコードが実行される脆弱性

・CVE-2026-45460：Microsoft Office の情報漏えいの脆弱性

・CVE-2026-26142：Nuance PowerScribe のリモートでコードが実行される脆弱性

・CVE-2026-42985：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-42992：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-44799：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-44801：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-47289：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-47654：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-48563：リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・CVE-2026-44815：Windows DHCP クライアントのリモートでコードが実行される脆弱性

・CVE-2026-47291：Windows HTTP.sys のリモートでコードが実行される脆弱性

・CVE-2026-45607：Windows Hyper-V のリモートでコードが実行される脆弱性

・CVE-2026-45641：Windows Hyper-V のリモートでコードが実行される脆弱性

・CVE-2026-47652：Windows Hyper-V のリモートでコードが実行される脆弱性

・CVE-2026-47288：Windows Kerberos キー配布センター (KDC) のリモートコード実行

・CVE-2026-48574：Windows Media のリモートでコードが実行される脆弱性

・CVE-2026-44803：Windows Win32K (GRFX) のリモートでコードが実行される脆弱性

・CVE-2026-44812：Windows Win32K (GRFX) のリモートでコードが実行される脆弱性

・CVE-2026-45657：Windows カーネルのリモートでコードが実行される脆弱性

・CVE-2026-44810：Windows 暗号化サービスの特権昇格の脆弱性

・CVE-2026-42987：Windows 展開サービスのリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

最大深刻度は「緊急」（リモートでコードが実行される）。

・Windows 11 バージョン 26H1：KB5095051

・Windows 11 バージョン 25H2：KB5094126

・Windows 11 バージョン 24H2：KB5094126

・Windows 11 バージョン 23H2：KB5093998

・Windows 10 バージョン 22H2（ESU）：KB5094127

・Windows Server 2025：KB5094125

・Windows Server 2022：KB5094128

・Windows Server 2019：KB5094123

・Windows Server 2016：KB5094122

「Windows 11 バージョン 25H2」にはセキュリティ修正に加え、2026年5月プレビューパッチの内容が含まれる。

・Bluetooth LE Audio技術を利用した「共有オーディオ」（Shared Audio）。1台のWindows 11 PCから2人が同時に同じオーディオを楽しめるように

・「タスクマネージャー」のNPU対応が拡充。NPU使用率やNPU専用メモリなどを確認できるオプション列を追加

・「マルチアプリカメラ」。複数のアプリが同時にカメラへアクセスできるように

・ユーザーフォルダー名のカスタマイズ。Windowsセットアップ中にユーザーフォルダーの名前を自分で指定できるように

・拡大鏡（Magnifier）の強化。スクリーンリーダー連携時のアナウンスがより明確になったほか、保護対象コンテンツの拡大表示にも対応

・スタートアップアプリの起動パフォーマンスや「Windows Hello」認証パフォーマンスの向上

「タスクマネージャー」のNPU対応が拡充

複数のアプリが同時にカメラへアクセスできるように

なお、「バージョン 25H2」のOSコアは「バージョン 24H2」と共通で、パッチの内容も同じだ。そのため、これらの改善は「バージョン 24H2」環境でも享受できる。ただし、Home/Proエディションの「バージョン 24H2」はサービス終了が近い。そろそろ「バージョン 25H2」への移行を検討したい。

また、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」（Extended Security Update：ESU）に登録しないとセキュリティパッチを受け取れない点には注意。

Microsoft Office関連のソフトウェア

「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

・Release notes for Microsoft Office security updates - Office release notes

「Microsoft 365 Apps」では27件の脆弱性が修正されており、深刻度「Critical」と評価されたリモートコード実行の脆弱性7件と情報漏えいの脆弱性1件が含まれる。できるだけ早い対処を心掛けたい。

Microsoft Edge

「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間6月4日にリリースされたv149.0.4022.52。

間もなく「Chromium」のゼロデイ脆弱性に対するアップデートが配信される見込みなので、リリースされたらすぐに適用しておきたい。

Microsoft SharePoint

「Microsoft SharePoint」関連では、30件の脆弱性が修正されている。深刻度「緊急」と評価された以下の2件が含まれているので、警戒が必要だ。

・CVE-2026-45456（緊急：リモートでコードが実行される）

・CVE-2026-45458（緊急：リモートでコードが実行される）

Microsoft Exchange Server

「Microsoft Exchange Server」（Subscription Edition/2019/2016）では、7件の脆弱性が修正された。最大深刻度は「重要」。また、「Microsoft Exchange Online」では深刻度「緊急」と評価された情報漏えいの脆弱性「CVE-2026-48579」が修正されている。

・CVE-2026-45500（重要：なりすまし）

・CVE-2026-45501（重要：なりすまし）

・CVE-2026-45502（重要：情報漏えい）

・CVE-2026-45503（重要：情報漏えい）

・CVE-2026-45504（重要：特権の昇格）

・CVE-2026-45583（重要：リモートでコードが実行される）

・CVE-2026-47631（重要：なりすまし）