トップ/記事一覧/2026年7月のMicrosoft月例更新、情シスが優先すべき重大脆弱性まとめ
microsoft-patch-tuesday-cover-ja

2026年7月のMicrosoft月例更新、情シスが優先すべき重大脆弱性まとめ

毎月のMicrosoft月例更新(Patch Tuesday)から、企業の情シスが今月まず当てるべき重大脆弱性だけを日本語でまとめる月イチ更新ページです。2026年7月は、オンプレ版SharePoint Serverにログイン不要の乗っ取り2件(各9.8)が最優先。Exchange・Active Directory・DHCP・SQL Serverの遠隔コード実行も要対応。製品別の早見表付き。

まとめ2026年7月15日公開 本日更新
目次
この記事のポイント

毎月のMicrosoft月例更新(Patch Tuesday)から、企業の情シスが今月まず当てるべき重大脆弱性だけを日本語でまとめる月イチ更新ページです。2026年7月は、オンプレ版SharePoint Serverにログイン不要の乗っ取り2件(各9.8)が最優先。Exchange・Active Directory・DHCP・SQL Serverの遠隔コード実行も要対応。製品別の早見表付き。

このページは、毎月のMicrosoftの定例セキュリティ更新(通称Patch Tuesday、月例更新)から、企業の情報システム担当者が「今月まず何を当てるべきか」だけを日本語でまとめる、月イチ更新のページです。全件を網羅するのではなく、悪用の危険が高く、対象が広く、対応を後回しにできないものに絞って優先度を付けます。ブックマークして毎月ご確認ください。

今回は2026年7月分です。各種集計によると、今月Microsoftが修正した脆弱性は100件を超える規模ですが、そのすべてに同じ緊急度があるわけではありません。今月、企業環境でまず優先すべきなのは、ログイン不要で社内サーバーを乗っ取られる「SharePoint Server」の2件です。以下、優先度の高い順に整理します。

今月(2026年7月)まず当てるべきもの

優先度は、「悪用にログインが要るか」「対象製品が社内でどれだけ使われているか」「すでに攻撃が始まっているか」で判断しています。数字(危険度)が同じでも、ログイン不要のものは一段上に置いています。

優先度製品管理番号危険度ログイン影響
最優先SharePoint Server
(オンプレ版)
CVE-2026-50522
CVE-2026-58644
各9.8不要乗っ取り
(RCE)
Exchange Server
(オンプレ版)
CVE-2026-550058.8要(低権限)乗っ取り
(RCE)
Active Directory
ドメインサービス
CVE-2026-491788.8要(低権限)乗っ取り
(RCE)
Windows DHCP
サーバー
CVE-2026-485648.8要(低権限)乗っ取り
(RCE)
SQL ServerCVE-2026-54117
CVE-2026-54118
各8.8要(低権限)乗っ取り
(RCE)

最優先:SharePoint Serverの未認証乗っ取り(CVE-2026-50522/58644)

今月の筆頭はこれです。社内ポータルや文書共有に使うオンプレ版SharePoint Serverに、ログインを一切必要とせず、ネットワーク越しにサーバーを乗っ取られる脆弱性が2件見つかりました。CVE-2026-50522CVE-2026-58644で、危険度はどちらも9.8。仕組みは「信頼できないデータの復元」(CWE-502)で、5月にすでに悪用が始まった同種の穴(CVE-2026-45659)に連なります。クラウド版のSharePoint Onlineは影響を受けません。オンプレ版を運用しているなら、今月分の更新を最優先で当ててください。詳細と版別の修正ビルドはSharePoint脆弱性の解説記事にまとめています。

高:Exchange・Active Directory・DHCPの遠隔コード実行

続いて優先すべきは、社内基盤の中枢を担う3製品の乗っ取り(遠隔コード実行)です。いずれも危険度8.8で、悪用には低い権限のログインが必要ですが、対象が広く、破られたときの影響が大きいものです。オンプレ版Exchange Server(CVE-2026-55005)はメール基盤、Active Directoryドメインサービス(CVE-2026-49178)は社内の認証の土台、Windows DHCPサーバー(CVE-2026-48564)は端末へIPアドレスを配る役割で、どれも社内ネットワークの根幹です。特にドメインコントローラー上で動くAD DSは、乗っ取られると被害が全社に波及します。該当サーバーを運用しているなら、今月の更新に含めて当ててください。

中:SQL Serverほか、通常の月例適用で

SQL Server(CVE-2026-54117/54118)にも、データの復元処理を突く乗っ取りが含まれます。こちらもログインが必要で、データベースに接続できる権限が前提です。CVE-2026-54118はSQL Server 2016から2025まで幅広い版が対象とされています。このほか、Windowsのカーネルや印刷スプーラー、リモートデスクトップの部品などにも多数の修正が入っていますが、多くは「すでに端末に入り込んだ相手による権限昇格」や「利用者を悪意あるサーバーへ誘導する必要があるクライアント側」の穴で、無差別に狙われる性質は上の項目より低めです。これらは通常の月例更新(Windows Update/WSUS等)でまとめて適用してください。

自分の組織に当てはまるか、製品別の早見表

「うちに関係あるのはどれか」を製品ごとに整理しました。使っている製品の行だけ確認してください。オンプレミス(自社運用)のサーバーがある組織ほど、対応の優先度が上がります。

使っていたら今月の対応優先度
オンプレ版SharePoint今月分を最優先で適用
(未認証で乗っ取り)
最優先
オンプレ版Exchange今月分を適用
Active Directory
(ドメイン運用)
ドメインコントローラーに適用
Windows DHCPサーバー該当サーバーに適用
SQL Server通常の月例で適用
Windowsの端末のみWindows Updateを適用通常
Microsoft 365
クラウドのみ
端末の更新のみ
(サーバー対応は不要)
通常

クラウド(Microsoft 365/SharePoint Online/Exchange Online)だけを使っている組織は、サーバー側の脆弱性対応は不要です。Microsoftが更新を担うためです。対応が必要なのは、あくまで自社でサーバーを立てて運用しているオンプレミス製品です。

そもそもMicrosoftの月例更新(Patch Tuesday)とは

Microsoftは毎月第2火曜日(日本時間では水曜の未明〜午前)に、WindowsやOffice、各種サーバー製品のセキュリティ修正をまとめて公開します。これがPatch Tuesday、日本語では「月例更新」と呼ばれるものです。まとめて出すことで、企業側が計画的に検証・適用しやすくする狙いがあります。

各修正には、深刻度を示す指標「CVSS」(10点満点)と、Microsoft独自の悪用可能性の評価が付きます。危険度の数字だけでなく、「ログインが要るか(未認証か)」「実際に攻撃が始まっているか」「その製品が社内でどれだけ中枢にあるか」をあわせて見ると、当てる順番を判断しやすくなります。このページでは、その判断をあらかじめ済ませた形で優先度を提示しています。

なお、実際に攻撃が確認された脆弱性は、米政府機関CISAが「悪用中の脆弱性リスト(KEV)」として公開しています。日本語で追える最新の悪用状況はCISA KEV ダッシュボード(日本語版)にまとめているので、月例更新とあわせて確認すると、優先順位がさらに明確になります。

毎月の当て方、運用の勘どころ

月例更新を安全かつ確実に回すための基本を整理しておきます。毎月同じ手順で回せる体制を作ることが、結局いちばんの防御になります。

まず、優先度で二段構えにすること。ログイン不要で乗っ取られる穴や、すでに悪用が始まっている穴は、検証を待たずに先行して当てる。それ以外は通常の検証フローに乗せる。全部を同じ速度で回そうとすると、いちばん危ないものの適用が遅れます。次に、オンプレのサーバー製品を台帳で把握しておくこと。SharePoint・Exchange・AD・SQLといった中枢サーバーは、どこに何の版があるかを普段から一覧化しておくと、今月のような月に即座に対象を絞り込めます。

適用の仕組みは、端末はWindows UpdateやMicrosoft Intune、サーバー群はWSUSやWindows Server Update関連の仕組みでまとめて配るのが一般的です。適用後は再起動やサービスの再開まで確認し、「配信済み」で止めず「反映済み」まで見届けてください。そして、当てたあともすでに侵入されていないかの点検を忘れないこと。悪用が始まっている穴では、更新は「これ以上入られない」ための対策であって、「すでに入られていないこと」を保証するものではありません。

更新履歴

このページは、毎月のMicrosoft月例更新にあわせて内容を更新します。過去分の要点も、ここに簡潔に残していきます。

  • 2026年7月:オンプレ版SharePoint Serverに未認証の乗っ取り2件(CVE-2026-50522/58644、各9.8)が最優先。Exchange・Active Directory・DHCP・SQL Serverの遠隔コード実行(各8.8・要低権限)も要対応。総数は100件超。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go