2026年1月13日、マイクロソフトは恒例の「パッチチューズデー」において、Windowsオペレーティングシステムおよび関連ソフトウェアに存在する合計114件ものセキュリティ脆弱性に対する修正プログラムを公開しました。この大規模なアップデートは、2025年1月、2022年1月に次ぐ、過去3番目に多い1月度のパッチ数として記録され、その規模の大きさが今回の脅威の広範さを示唆しています。修正された脆弱性のうち8件は「緊急」と評価され、特に深刻な影響をもたらす可能性が指摘されています。
今回のパッチチューズデーで最も注目すべきは、すでに攻撃者によって活発に悪用されていることが確認されたゼロデイ脆弱性「CVE-2026-20805」の存在です。この脆弱性はWindowsの基幹コンポーネントであるDesktop Window Manager(DWM)に影響を及ぼし、そのCVSSスコアは5.5と一見すると中程度に見えますが、実際の悪用が確認されていることから、その潜在的な危険性は極めて高いと評価されています。セキュリティ専門家たちは、この脆弱性が単独で機能するだけでなく、他の脆弱性と組み合わされることで、より高度で反復可能な攻撃を可能にする連鎖的な脅威となる可能性を警告しています。
さらに、今回のアップデートでは、長年にわたりWindowsに組み込まれてきたレガシーなAgere Soft Modemドライバーの削除や、2011年に発行されたSecure Boot証明書の2026年中の失効問題に対する対応も含まれており、単なる新規の脆弱性修正に留まらない、システムの根幹に関わるセキュリティ課題が浮き彫りになりました。これらの問題は、過去の技術的負債が現代のサイバーセキュリティ環境においていかに深刻なリスクとなり得るかを示すものであり、企業や組織は単発的なパッチ適用だけでなく、より包括的なセキュリティ戦略の見直しを迫られています。
マイクロソフト製品以外にも、Mozilla FirefoxやGoogle Chrome、Microsoft Edgeといった主要なウェブブラウザでも複数の脆弱性が修正されており、特にFirefoxでは2件の脆弱性(CVE-2026-0891、CVE-2026-0892)がすでに悪用されている疑いがあると報じられています。この状況は、現代のサイバー脅威が特定のプラットフォームに限定されることなく、広範なソフトウェアエコシステム全体に及んでいることを明確に示しており、ユーザーおよびシステム管理者には、迅速かつ継続的なセキュリティアップデートの適用が強く推奨されます。
DWMゼロデイの深層:活発な悪用とASLR回避の脅威
今回のパッチチューズデーで最も緊急性の高い脅威として浮上したのは、Windows Desktop Window Manager(DWM)における情報漏洩のゼロデイ脆弱性「CVE-2026-20805」です。この脆弱性はCVSSスコア5.5の「重要」評価を受けていますが、マイクロソフト自身が「活発に悪用されている」と確認したことで、その実際の危険度はベンダー評価やCVSSスコアをはるかに上回ると、Ivantiの製品管理担当副社長であるクリス・ゴエットル氏は警鐘を鳴らしています。この脆弱性は、Windows 10、Windows 11、およびWindows Serverの現在サポートされているすべてのバージョンに影響を及ぼします。
Immersiveのサイバー脅威リサーチ担当シニアディレクターであるケブ・ブリーン氏は、この種の脆弱性が、バッファオーバーフローやその他のメモリ操作エクスプロイトから保護するためのOSの主要なセキュリティ制御であるアドレス空間配置のランダム化(ASLR)を無効化するためによく利用されると指摘しています。具体的には、この脆弱性がメモリ内のコードの場所を明らかにするため、別のコード実行の脆弱性と組み合わせることで、複雑で信頼性の低いエクスプロイトを実用的で反復可能な攻撃へと変貌させることが可能になります。
マイクロソフトは、このエクスプロイトチェーンにどのような追加コンポーネントが関与しているかについては開示していません。この情報の欠如は、防御側が関連する活動をプロアクティブに脅威ハンティングする能力を著しく制限しており、結果として、迅速なパッチ適用が現在唯一の効果的な緩和策であるとブリーン氏は強調しています。攻撃者は、基本的なユーザー権限を持つローカルアクセスだけで、Windows内部の通信チャネルを通じて機密性の高いシステムメモリアドレスにアクセスできるため、ユーザーの操作を必要とせずに悪用が可能です。
この深刻な状況を受け、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用されている脆弱性(KEV)カタログ」に追加しました。これにより、連邦政府の行政機関(FCEB)は、2026年2月3日までに最新の修正プログラムを適用することが義務付けられ、その緊急性が改めて浮き彫りになっています。過去には2024年5月にもDWMの特権昇格ゼロデイ(CVE-2024-30051)がQakBotなどのマルウェア配布に悪用されており、Tenableのシニアスタッフリサーチエンジニアであるサトナム・ナラン氏がDWMを「パッチチューズデーの常連」と呼ぶように、このコンポーネントは攻撃者にとって魅力的な標的であり続けています。
レガシーモデムドライバーの危険性:過去から続く脆弱性
今回のパッチチューズデーでは、Windowsに長年組み込まれてきたレガシーなAgere Soft Modemドライバー「agrsm64.sys」と「agrsm.sys」が削除されたことも、セキュリティコミュニティに大きな波紋を広げています。これらのドライバーは、2年以上前にMITREを通じて公開された特権昇格の脆弱性「CVE-2023-31096」(CVSSスコア7.8)の影響を受ける可能性があり、攻撃者がシステム権限(SYSTEMレベル)を獲得できる恐れがありました。この脆弱性はすでに機能するエクスプロイトコードが知られていると報じられています。
Rapid7のアダム・バーネット氏は、これらのドライバーが、すでに2025年10月に同様の理由で削除された別のAgereモデムドライバー「ltmdm64.sys」と共通の、現在は存在しないサードパーティによって開発されたものであることを指摘しています。これらのドライバーは数十年にわたりWindowsに搭載されてきましたが、ほとんどのユーザーにとっては削除されても気づかないでしょう。しかし、一部の産業用制御システムなど、特定の環境では依然としてアクティブなモデムが使用されている可能性があり、その場合は深刻な影響が懸念されます。
バーネット氏は、今回の削除を受けて二つの重要な疑問を投げかけています。一つは、完全にパッチが適用されたWindowsアセット上に、まだどれだけのレガシーモデムドライバーが残っているのかという点です。もう一つは、マイクロソフトが「古くからあるデバイスドライバーのクラス全体を悪用して『生活している』攻撃者を断ち切る前に、さらにどれだけのSYSTEMへの特権昇格脆弱性がそこから現れるのか」という問いです。これは、攻撃者が長期間にわたり、見過ごされがちな古いコンポーネントを悪用し続けている実態を示唆しています。
マイクロソフトはCVE-2023-31096の悪用を示す証拠を主張していませんが、2023年の詳細な公開レポートと、2025年の別のAgereモデムドライバーの削除は、Windowsエクスプロイトを探す者にとって強力なシグナルとなっていました。さらに、モデムが実際に接続されている必要はなく、ドライバーが存在するだけでシステムが脆弱になるという事実は、その潜在的なリスクの大きさを物語っています。今回のドライバー削除は、過去の技術的負債が現代のサイバーセキュリティに与える影響の大きさを改めて浮き彫りにしました。
Secure Bootの信頼性危機:迫り来る証明書失効の時限爆弾
Windowsの起動プロセスにおけるセキュリティの要であるSecure Bootにも、重大なセキュリティ機能バイパスの脆弱性「CVE-2026-21265」(CVSSスコア6.4)が指摘されています。この脆弱性は、ファームウェアモジュールが信頼できるソースから提供され、マルウェアが起動プロセス中に実行されるのを防ぐという、Secure Bootの重要なメカニズムを損なう可能性があります。特に懸念されるのは、Secure Bootが依存する一連の証明書が、2026年6月と2026年10月に期限切れを迎えるという事実です。
これらの期限切れとなる証明書は2011年に発行されたもので、マイクロソフトは2025年11月に、顧客に対し、2023年に発行された新しい証明書への更新を促していました。具体的には、「Microsoft Corporation KEK CA 2011」は2026年6月に、「Microsoft Windows Production PCA 2011」は2026年10月に、「Microsoft UEFI CA 2011」も2026年6月にそれぞれ期限切れとなります。これらの古い証明書を使用しているWindowsデバイスが新しい2023年の証明書に更新されない場合、Secure Bootのセキュリティ修正プログラムを受け取れなくなる可能性があります。
Rapid7のアダム・バーネット氏は、ブートローダーやBIOSを更新する際には、特定のOSとBIOSの組み合わせに対して事前に十分な準備を行うことが不可欠であると警告しています。不適切な修復手順は、システムが起動不能になるという最悪の事態を招く可能性があるため、細心の注意が必要です。この問題は、2023年にBlackLotusブートキットによって悪用されたSecure Bootバイパス(CVE-2023-24932)に関連するWindowsパッチと、その後の修復手順とともに、マイクロソフトが代替証明書を発行した経緯があります。
「情報セキュリティの世界では15年という期間は非常に長いですが、Stuxnetの時代からSecure Bootエコシステム全体を署名してきたマイクロソフトのルート証明書の期限が迫っています」とバーネット氏は述べています。この状況は、単なるソフトウェアのバグ修正に留まらず、システムの根幹を支える信頼の基盤そのものに関わる問題であり、企業や個人ユーザーは、システムの安定性とセキュリティを確保するために、マイクロソフトが提供する詳細なガイダンスに従い、期限切れ前に証明書の更新を完了させる必要があります。
Microsoft Officeを狙うリモートコード実行の脅威
今回のパッチチューズデーでは、Microsoft Office製品に存在する複数のリモートコード実行(RCE)の脆弱性も修正され、その深刻な影響が浮き彫りになりました。特に「CVE-2026-20952」と「CVE-2026-20953」は「緊急」と評価されており、CVSSスコアは8.4と高い危険度を示しています。これらの脆弱性は、Microsoft OfficeコンポーネントにおけるUse-After-Freeの条件を悪用することで、認証されていない攻撃者が任意のコードを実行できるというものです。
これらの脆弱性の最も悪質なシナリオでは、被害者が悪意のある電子メールやリンクを開く必要さえなく、プレビューペインでメッセージを表示するだけで攻撃がトリガーされる可能性があります。これにより、攻撃者は被害者のマシン上でリモートコード実行を達成できるため、極めて低い攻撃ハードルで広範囲にわたる被害をもたらす恐れがあります。このような特性は、標的型攻撃や大規模なマルウェア配布キャンペーンにおいて、非常に魅力的な攻撃ベクトルとなり得ます。
さらに、CrowdStrikeの分析によると、Microsoft Wordの「CVE-2026-20944」(CVSSスコア8.4)も「緊急」評価のリモートコード実行脆弱性として修正されました。これはOut-of-Bounds Readの弱点を悪用するもので、攻撃にはユーザーが不正なファイルを開く必要がありますが、プレビューペインが攻撃ベクトルとなる点は前述の脆弱性と共通しています。一方、Microsoft Excelでは「CVE-2026-20955」と「CVE-2026-20957」(いずれもCVSSスコア7.8)という二つの「緊急」RCE脆弱性が修正されました。
Excelの脆弱性は、それぞれUntrusted Pointer DereferenceとInteger Underflowに起因するHeap-Based Buffer Overflowを悪用するもので、こちらもユーザーが不正なファイルを開く必要があります。しかし、Wordの脆弱性とは異なり、これらのExcelの脆弱性ではプレビューペインは攻撃ベクトルとはなりません。これらのOffice製品の脆弱性は、日常的に使用されるアプリケーションが、いかに巧妙な手口で攻撃の入り口となり得るかを示しており、ユーザーは不審なファイルやリンクの開封に細心の注意を払うとともに、常に最新のセキュリティパッチを適用することが不可欠です。
Windows基盤を揺るがす特権昇格とセキュリティ機能バイパス
今回のパッチチューズデーでは、Windowsの基盤を支える複数のコンポーネントにおいて、深刻な特権昇格(EoP)およびセキュリティ機能バイパスの脆弱性が修正されました。その中でも特に注目すべきは、Windows Graphics Componentにおける「CVE-2026-20822」(CVSSスコア7.8)です。これはUse-After-Freeの条件を悪用する「緊急」評価のEoP脆弱性であり、認証された低権限の攻撃者がSYSTEM権限に昇格することを可能にします。この攻撃はユーザーの操作を必要としませんが、攻撃の成功には競合状態を勝ち取る必要があるため、攻撃の複雑性は高いとされています。
この脆弱性の最も懸念される影響の一つは、仮想化されたGPU環境において、攻撃者が仮想マシンから脱出し、基盤となるホストシステムへのアクセスを獲得できる可能性がある点です。これは、クラウド環境や仮想デスクトップインフラストラクチャ(VDI)を利用する企業にとって、極めて重大なリスクを意味します。仮想化技術はセキュリティ境界を強化するためのものですが、このような脆弱性はその境界を根本から崩壊させる可能性を秘めています。
さらに、Windows Local Security Authority Subsystem Service(LSASS)における「CVE-2026-20854」(CVSSスコア7.5)も「緊急」評価のリモートコード実行脆弱性として修正されました。これはUse-After-Freeの条件を悪用するもので、認証された低権限の攻撃者がネットワーク経由で任意のコードを実行できる可能性があります。攻撃者は特定のディレクトリ属性を改変し、認証時にシステムが不正なメモリを参照するように細工されたデータを提供することで、システムクラッシュやリモートコード実行を引き起こすことができます。この攻撃も高い複雑性を伴い、攻撃者はエクスプロイトの信頼性を向上させるためにターゲット環境を準備する必要があります。
そして、Windows Virtualization-Based Security(VBS)Enclaveにおける「CVE-2026-20876」(CVSSスコア6.7)は、「緊急」評価の特権昇格脆弱性です。Action1の社長兼共同創設者であるマイク・ウォルターズ氏は、この脆弱性が「Windows自体を保護するために設計されたセキュリティ境界を破り、攻撃者がシステムの最も信頼された実行レイヤーの一つに侵入することを可能にする」と指摘しています。管理者権限を持つ攻撃者がVirtual Trust Level 2(VTL2)権限を獲得し、セキュリティ制御を無効化し、深い永続性を確立し、検出を回避できるため、その影響は極めて深刻です。ウォルターズ氏は、この脆弱性に対する迅速なパッチ適用が、Windowsのセキュリティ境界への信頼を維持するために不可欠であると強調しています。
広範囲に及ぶパッチ適用と多角的な防御戦略の必要性
2026年1月のパッチチューズデーは、マイクロソフト製品にとどまらず、広範なITエコシステム全体にわたるセキュリティの課題を浮き彫りにしました。合計114件もの脆弱性が修正され、そのうち58件が特権昇格、22件が情報漏洩、21件がリモートコード実行に関連するものであったことは、攻撃者がシステムへの侵入後、いかに権限を拡大し、機密情報を窃取しようとするかに焦点を当てていることを示唆しています。この大規模な修正は、企業が直面する脅威の多様性と複雑さを改めて認識させるものです。
マイクロソフト以外のベンダーからも、月初の時点で多数のセキュリティアップデートがリリースされています。Mozilla FirefoxやGoogle Chrome、Microsoft Edgeといった主要なウェブブラウザはもちろんのこと、Adobe、Cisco、Fortinet、Google Android、Linuxディストリビューション、NVIDIA、SAPなど、多岐にわたる製品やプラットフォームで脆弱性が修正されました。この事実は、組織がセキュリティ対策を講じる上で、特定のベンダーや製品に限定することなく、サプライチェーン全体、そして使用するすべてのソフトウェアとハードウェアに目を向ける必要があることを強調しています。
CrowdStrikeは、Log4jやProxyNotShellの事例が示すように、すべての高度に悪用可能な脆弱性が容易にパッチ適用できるわけではないと指摘し、パッチ適用プロトコルが存在しない場合の防御計画の重要性を強調しています。定期的なパッチ戦略の見直しはプログラムの一部であるべきですが、組織はサイバーセキュリティに対するアプローチをより全体的に捉え、総合的なセキュリティ体制を向上させる必要があります。これには、脆弱性管理だけでなく、エンドポイント検出と対応(EDR)、アイデンティティセキュリティ、クラウドセキュリティ、脅威インテリジェンスの活用などが含まれます。
CISAが連邦政府機関にDWMゼロデイの修正を義務付けたように、活発に悪用されている脆弱性に対しては、迅速かつ強制的な対応が求められます。しかし、今回のパッチチューズデーで明らかになったレガシーモデムドライバーやSecure Boot証明書失効のような根深い問題は、短期的なパッチ適用だけでは解決できない、長期的な視点でのシステムアーキテクチャの見直しとセキュリティ投資の必要性を示唆しています。企業は、現在の脅威だけでなく、未来の脅威にも対応できるような、強靭で適応性のあるセキュリティフレームワークを構築することが急務と言えるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Patch Tuesday, January 2026 Edition – Krebs on Security - https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/
- -January 2026 Patch Tuesday: Updates and Analysis | CrowdStrike BLOG - https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-january-2026/
- -Microsoft Fixes 114 Windows Flaws in January 2026 Patch, One Actively Exploited - https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html