チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「ゼロデイが6件って、どれから直せばいいでしゅか?」
「自社のExchangeが狙われてるって、本当に今すぐパッチを当てる必要があるんでしゅか?」
チップス毎月のパッチ、数が多すぎて優先順位がつけられないんでしゅ……。
ボスふふふ、200件もあれば迷うのも無理はない。だが今回は実際に攻撃されているものが混じっている。そこを先に押さえれば判断はぶれないぞ。
本記事では、Microsoftが2026年6月のPatch Tuesdayで公開した6件のゼロデイと200件の脆弱性を整理し、まず何から手をつけるべきかを解説します。
読み終える頃には、自社のExchangeとWindows環境で優先すべきパッチの順番がはっきりします。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずはMicrosoftが公開した今回の修正内容を整理します。
今回の目玉は、実環境で悪用が確認されたCVE-2026-42897です。
Exchange Serverのなりすまし(spoofing)脆弱性で、攻撃者が細工したメールを送り、利用者がOutlook Web Access(OWA)で開くとブラウザ上で任意のJavaScriptが動きます。
残る5件は公開済みのゼロデイで、HTTP/2のヘッダー圧縮を悪用しわずかなデータでサーバに過大なメモリを確保させるCVE-2026-49160(HTTP/2 Bomb)が代表例です。
ほかにもWindows CTFMONの権限昇格CVE-2026-45586(別名GreenPlasma)、BitLockerをバイパスするCVE-2026-45585とCVE-2026-50507が並びます。
主なゼロデイを表に整理すると次のとおりです。
| CVE番号 | 内容 |
|---|---|
| CVE-2026-42897 | Exchangeのなりすまし、OWAで任意のJavaScript実行(悪用中) |
| CVE-2026-49160 | HTTP/2 Bomb、DoSでサーバの性能低下・停止 |
| CVE-2026-45586 | Windows CTFMON権限昇格(GreenPlasma) |
| CVE-2026-45585 / 50507 | BitLockerバイパス |
悪用中の1件を先頭に置き、公開済みの5件がそれに続く構図です。
チップスメールを開いただけでJavaScriptが動くって、利用者は気づけないでしゅ……。
ボスそこが怖いところだな。利用者の操作に頼れない以上、サーバ側でふさぐしかない。だからExchangeのパッチが最優先になるんだ。
200件のうち、どれを先に当てるかで対応の質が変わります。
今回はCritical評価が33件あり、そのうち28件がリモートコード実行(RCE)です。
RCEは攻撃者が遠隔から任意のコードを動かせる種類で、被害が最も大きくなりやすいため、まずはここを軸に判断します。
とりわけ実環境で悪用中のCVE-2026-42897は、社内の多くがメールにExchangeを使う日本の環境では影響範囲が広く、すでに攻撃が始まっている点で別格です。
HTTP/2 BombのようなDoSはサーバを止めにかかる攻撃なので、外部公開しているWebサーバを持つ組織は同時にふさいでおく必要があります。
適用の優先順位をまとめると次のとおりです。
すべてを一度に当てられないなら、悪用中の1件と外部公開サーバから手をつけるのが現実的です。
チップス件数に圧倒されて、つい後回しにしがちだったでしゅ……。
ボス全部を完璧にやろうとするから止まるんだ。悪用されているものから順に潰す。それだけで守りの厚みは段違いに変わるぞ。
2026年6月のPatch Tuesdayは、200件の修正のなかに実際に攻撃されているExchangeのゼロデイを含む、重さの異なる更新でした。
まずはCVE-2026-42897を即日で当て、28件あるRCEを外部公開サーバから順に潰すのが、限られた人手で被害を防ぐ近道です。
毎月の膨大なパッチに飲まれず、悪用中かどうかとRCEかどうかで優先順位をつける運用が、現場の足腰を支えます。
こうしたパッチ管理や脆弱性対応の最前線に関わりたい方は、ぜひセキュリティフリーランス案件で多様な現場を経験してみてください。
参考: BleepingComputer「Microsoft June 2026 Patch Tuesday fixes zero-days, 200 flaws」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
