WindowsとAdobeが史上最多パッチ——200件超の脆弱性、今すぐやるべき3ステップ
「最近Windowsの更新通知が来ているけど、後でいいか」と思っていませんか。2026年6月のセキュリティ更新は、その「後で」が最も危険な月になりました。MicrosoftとAdobeが同時に過去最大規模のパッチを公開し、すでに実際の攻撃に悪用されている脆弱性も含まれています。この記事では、何が起きたのかを最短で把握し、PCユーザー・IT担当者それぞれが今日中にやるべき具体的な手順までを一気にまとめます。
結論——今月の更新は「最優先」、今すぐやるべき3ステップ
先に結論からお伝えします。今回のパッチには悪用が確認済みのゼロデイ脆弱性が含まれるため、適用は「時間があるときに」ではなく「最優先」です。やることはシンプルで、次の3つだけです。
- Windows Update を今すぐ実行して再起動する(KB5094126ほか)
- Microsoft Office と Defender の更新を確認する(プレビューだけで感染するリスクへの対策)
- Adobe Acrobat / Reader をアップデートする(企業はColdFusion・Campaign Classicも即時対応)
詳しい手順は記事後半の「今すぐやるべき3ステップ」で画面操作まで解説します。まずは、なぜ今月これほど急ぐ必要があるのかを見ていきましょう。
史上最多——2026年6月 Patch Tuesday で何が修正されたか
Microsoftは2026年6月9日(日本時間6月10日)に月例セキュリティ更新(Patch Tuesday)を公開しました。修正された脆弱性は集計元により198〜208件とされ、Patch Tuesday開始から23年間で史上最多を記録しています(CybersecurityNews、2026-06-26時点)。前回記録の2025年10月(167件)を大きく上回りました。
セキュリティ企業Qualysの集計では、重大度の内訳はCritical 33件、Important 167件。脆弱性のタイプ別では、権限昇格(EoP)が65件(31.8%)と最多で、次いでリモートコード実行(RCE)が55件(27.3%)でした(Qualys、2026-06-26時点)。
| 区分 | 件数 |
|---|---|
| Microsoft 修正脆弱性 | 198〜208件(史上最多) |
| うち Critical | 33件 |
| 公開済みゼロデイ | 3件(うち1件は悪用確認済み) |
| Adobe 修正脆弱性 | 123件(11製品・Critical 47件含む) |
Adobeも同日に11件のセキュリティアドバイザリを公開し、11製品にわたる123件の脆弱性(Critical 47件含む)を修正しました(SecurityWeek、2026-06-26時点)。1日に両社で300件を超える修正が出たことになります。
出典: Unsplash
特に危険な脆弱性——Defenderが悪用中、プレビューでも感染リスク
件数の多さ以上に重要なのが、危険度の高さです。今回は公開済みゼロデイ(パッチ提供前に詳細が攻撃者に知られており、今まさに悪用されている可能性がある脆弱性)が3件あり、うち1件はすでに実際の攻撃に使われています。
Microsoft製品への影響(Windows・Office・Defender)
実害が確認されているのが CVE-2026-41091(CVE=脆弱性の国際識別番号。Microsoft Defenderの権限昇格脆弱性)です。セキュリティ対策ソフトであるはずのDefender自身の欠陥が悪用されているため、優先度は最も高くなります(窓の杜、2026-06-26時点)。「Defenderが危険なら削除すべきか」と思うかもしれませんが、削除は不要です。今回の更新でこの欠陥は修正されるため、早急にWindows Updateを適用することが正しい対処です。
理論上の危険度が最も高いのは CVE-2026-45657(WindowsカーネルTCP/IPのRCE=リモートコード実行。攻撃者がインターネット越しにあなたのPCを遠隔操作できる状態になる脆弱性、CVSS=10点満点の危険度スコアで9.8)です。認証もユーザー操作も不要で、ネットワーク経由から最高権限でコードを実行できる「ゼロクリック」(クリックや操作をしなくても攻撃が成立する)脆弱性とされています。対象はWindows 11(23H2〜26H1)とWindows Server 2022/2025です(Windows Forum、2026-06-26時点)。現時点で悪用は確認されておらず、Microsoftは「悪用の可能性は低い」と評価していますが、セキュリティ研究者は優先対応を推奨しています。
そして一般ユーザーが最も「自分ごと」として意識すべきなのが、ExcelやWordの複数のRCE脆弱性です。これらはプレビューペインを開くだけで悪用される可能性があり、ファイルをダブルクリックして開かなくても感染しうると報告されています(Security Affairs、2026-06-26時点)。メールに添付された不審なファイルを「中身だけちょっと確認」する操作が引き金になり得るのです。
そのほか公開済みゼロデイとして、HTTP.sysのDoS=サービス妨害(CVE-2026-49160、CVSS 7.5)、CTFMONの権限昇格(EoP=より高い管理権限を奪取される脆弱性。CVE-2026-45586、CVSS 7.8)、BitLockerのセキュリティ機能バイパス(CVE-2026-50507、CVSS 6.8)が挙げられています。
企業向けではExchange Serverのなりすまし脆弱性(CVE-2026-42897)をJPCERT/CCが特に危険と明記しています(JPCERT/CC、2026-06-26時点)。
なお、一部の日本語ブログでは「悪用済みゼロデイが7件」とする情報も見られますが、英語の主要セキュリティメディアの集計では悪用確認は1件、公開済みゼロデイは3件とされており、集計方法の違いによる差と考えられます。最新の確定情報は各公式アドバイザリで確認してください。
Adobe製品への影響(Acrobat Reader・ColdFusion・Campaign Classic)
PDFを扱う多くの人に関係するのが Adobe Acrobat / Reader で、20件の脆弱性(任意コード実行・DoS・メモリ情報漏洩)が修正されました。Adobeは現時点で野放しの悪用は把握していないとしています(Adobe APSB26-63、2026-06-26時点。アドバイザリの一部は取得不能だったため公式ページで最新情報を確認してください)。
企業システム担当者にとって深刻なのは Adobe Campaign Classic の2件で、いずれもCVSSが最大値の 10.0 です。誤った認可制御による任意コード実行などが可能とされ、Priority 1(悪用可能性が高い)と評価されています(Threat Modeling、2026-06-26時点)。ColdFusionも7件(Priority 1)、Experience Managerは57件が修正されており、これらを運用している組織は即時対応が求められます。
なぜ今月これほど多い?——AIが変えるセキュリティパッチの未来
「たまたま運が悪い月だった」のではなく、構造的な変化が背景にあると指摘されています。Tenableのアナリスト Satnam Narang 氏は、セキュリティ専門家のAIツール活用率が約90%に達していることに触れ、AI主導の脆弱性発見によってこの規模のパッチが今後の標準になる可能性があるとコメントしています(Krebs on Security、2026-06-26時点)。
実際、同月にはGoogleもChromeで429件の脆弱性に対処しており、大型パッチは業界全体で同時多発しています。これが意味するのは、「更新は数か月に一度の特別作業」という感覚が通用しなくなるということです。月例更新の自動適用をオンにしておくことの重要性が、これまで以上に高まっています。
あなたのPCに何が起きるか——ユーザー別リスクチェック
危険度は分かっても、「自分のPCは大丈夫なのか」が気になるところです。立場別に確認すべきポイントを整理しました。
- 一般のWindows 11ユーザー: Office文書のプレビュー感染リスクが最大の関心事。Windows UpdateとOfficeの更新を済ませれば主要リスクは塞がります。BitLockerで暗号化している場合はバイパス脆弱性の対象にもなります。
- Adobe Acrobat / Readerユーザー: 細工されたPDFを開くことで任意コード実行・情報漏洩の恐れ。Reader利用者も対象です。
- IT担当者・PC管理者: Exchange Server(CVE-2026-42897)、ColdFusion、Campaign Classicは特に優先度が高い。サーバー製品はクライアントより影響範囲が広いため先に手当てを。
- Windows 10ユーザー: 標準サポートが終了した通常版Windows 10には今回の更新(KB5094127)は提供されません。対象はESU加入者およびLTSC利用者のみです。サポート切れの環境を使い続けている場合はWindows 11への移行を検討してください。
出典: Unsplash
今すぐやるべき3ステップ——WindowsとAdobeの更新手順
ここからが本題です。冒頭の3ステップを、実際の画面操作レベルで解説します。所要時間は再起動を含めても15〜30分程度です。
ステップ1: Windows Updateを今すぐ適用する
「設定」→「Windows Update」→「更新プログラムのチェック」を実行します。今月の主な累積更新プログラムは次の通りです。
| 対象OS | KB番号 |
|---|---|
| Windows 11(25H2 / 24H2) | KB5094126 |
| Windows 11(23H2) | KB5093998 |
| Windows 11(26H1) | KB5095051 |
| Windows Server 2025 | KB5094125 |
| Windows 10(ESU / LTSC のみ) | KB5094127 |
(出典: BleepingComputer、2026-06-26時点。ビルド番号は適用タイミングにより異なる場合があります。)ダウンロードが終わったら、必ず再起動まで完了させてください。再起動しない限りパッチは有効になりません。
すでに更新が適用されているか確認したい場合は、「設定」→「Windows Update」→「更新履歴」を開くと、過去に適用されたKB番号が一覧で確認できます。上記のKB番号が表示されていれば適用済みです。
ステップ2: Microsoft OfficeとDefenderの更新を確認する
プレビュー感染リスクを塞ぐため、Officeも更新します。Officeアプリで「ファイル」→「アカウント」→「更新オプション」→「今すぐ更新」を選びます。Microsoft Defenderは通常クラウド経由で自動更新されますが、念のためWindowsセキュリティの「ウイルスと脅威の防止」→「更新プログラムのチェック」で最新化を確認しておくと安心です。
ステップ3: Adobe製品をアップデートする
Acrobat / Readerは、アプリのメニューから「ヘルプ」→「アップデートを確認」を実行します。自動更新が有効でも、今回は手動で最新化を確認しておきましょう。ColdFusionやCampaign Classicを運用している企業は、前述の通りPriority 1扱いで即時適用が推奨されます。
企業のIT担当者は段階的ロールアウトを推奨しますが、悪用済みのCVE-2026-41091が含まれるため、今月は通常より検証期間を短縮してください。具体的には、先行グループへの適用は当日中に実施し、翌日以内を目標に全社展開を完了するという時間軸が目安です。「小規模展開 → 翌朝動作確認 → 全社展開」という1〜2日での完結を目指してください。
まとめ——「後でやろう」が最もリスクが高い
2026年6月のパッチは、件数の多さよりも「すでに悪用されているゼロデイがある」点が本質です。プレビューしただけ、PDFを開いただけで被害につながり得る脆弱性が含まれる以上、今月の更新を先送りする理由はありません。
IPA(情報処理推進機構)も「攻撃が行われた場合の影響が大きいため、早急にセキュリティ更新プログラムを適用してください」と呼びかけています(IPA、2026-06-26時点)。自動更新をオンにしていれば対応は最短で済みます。まずはこの記事を閉じる前に、Windows Updateの画面を開いて「更新プログラムのチェック」を押すところから始めましょう。今後も大規模パッチが続く可能性が高い今、月例更新を習慣にしておくことが最大の防御になります。
最新の確定情報は、IPA と JPCERT/CC の公式注意喚起もあわせて確認してください。
