2026年1月のPatch Tuesdayでは、112のMicrosoftのCVEに対するセキュリティ更新と、3つの再公開されたMicrosoft以外のCVEが提供されます。今月のリリースでは、Windowsのコアコンポーネント、リモートアクセスサービス、ファイルシステム、Officeプロダクティビティスイートにまたがる幅広い問題に対処しています。
今月の修正の中には、実際に野放しで悪用されていることが確認された脆弱性があります。それは、Desktop Window Managerのデスクトップウィンドウシステムバグ(CVE-2026-20805)です。さらに、複数の脆弱性が「悪用される可能性が高い」と評価されており、リスクが高まっていることを示しており、迅速な対策が必要です。
今月はCVSS 9.0以上の「クリティカル」タグに該当する脆弱性はないものの、権限昇格やローカルコード実行などの一般的な攻撃者手法とコアOSコンポーネントやドライバーが組み合わさることで発生する一時的なリスクを示す高い深刻度と悪用準備が整った欠陥が複数見つかっています。
Microsoftパッチ概要
今月の更新サイクルは、Windowsプラットフォームのさまざまなコンポーネントとサービスにわたる112のMicrosoft CVEを含み、その規模が重要です。重点分野には次のものがあります:
Windows コアとカーネルのコンポーネント、カーネル自体を含む、補助ドライバー、WinSock、Win32K、NTFS、CLFS、および DWM。
ファイルシステムとストレージ、NTFSおよびCLFSドライバーを含む、これはシステムの整合性にとって基盤であり、エクスプロイトチェーンによって一般的に狙われています。
リモートアクセスおよび接続サービス、Routing and リモートアクセス Service (RRAS)を含む。
Microsoft Officeや生産性向上のためのコンポーネント、特にSharePointやExcel/Wordドキュメントの処理。
サーバーおよびツーリングコンポーネント、SQL サーバー、WSUS、およびWindows 設定サービスを含む。
影響を受けるコンポーネントが、コアOSドライバからユーザーが使用するアプリケーションに至るまで多岐に渡ることから、リスクの重大性と現実の悪用可能性を考慮した体系的なパッチ戦略の必要性が浮き彫りになっています。
ゼロデイと悪用される可能性のある脆弱性
積極的に悪用されているゼロデイ
CVE-2026-20805 (Desktop Window Manager): この脆弱性は活発に悪用されていることが確認されています。これにより、ローカル攻撃者がDWMを通じて権限を昇格させることができます。DWMはWindowsの主要なグラフィックス/ウィンドウ管理コンポーネントです。グラフィカルシェルを実行するシステムやマルチユーザーの職場をホストするシステムは、特に危険にさらされています。
悪用される可能性が高い
確認されたゼロデイに加えて、他にもMicrosoftが「Exploration More Likely」としてタグ付けしているいくつかの脆弱性があります。これは、攻撃��者が頻繁に狙う条件を示しています:
CVE-2026-20816: Windows Installer
CVE-2026-20817: Windows エラー報告
CVE-2026-20820: Windows Common Log ファイル System (CLFS) Driver
CVE-2026-20840: Windows NTFS
CVE-2026-20843: Windowsルーティングおよびリモートアクセスサービス (RRAS)
CVE-2026-20860: Windows Ancillary Function Driver for WinSock
CVE-2026-20871: デスクトップ ウィンドウ マネージャー
CVE-2026-20922: Windows NTFS
これらの問題は通常、重要な基本スコア(7.8以上)を持ち、一般的なOSの機能に影響を与え、横移動や権限昇格などの侵害後のアクションで活用されることが多いです。
高重大度のCVE(CVSS 8.8)
今月のCVEは9.0以上の評価はないものの、広く展開されているサービスやコラボレーションプラットフォームに影響を及ぼす、深刻度スケールの上位に位置するいくつかの脆弱性があります(CVSS 8.8)。
CVE-2026-20868: Windows RRAS (8.8)
CVE-2026-20947: Microsoft Office SharePoint (8.8)
CVE-2026-20963: Microsoft Office SharePoint (8.8)
これらの問題は得点が高いだけでなく、幅広い企業利用があるサービスにも影響を与えるため、早期の優先順位付けがさらに正当化されます。
パッチの優先順位付けガイダンス
72時間以内にパッチ適用
確認された悪用と高リスクの悪用が予想される脆弱性に、最初の設定の波を集中させてください。
CVE-2026-20805: デスクトップウィンドウマネージャー(積極的に悪用されています)
搾取の可能性が高い設定
CVE-2026-20816 (Windows Installer)
CVE-2026-20817 (Windows Error Reporting)
CVE-2026-20820 (CLFSドライバー)
CVE-2026-20840/20922 (Windows NTFS)
CVE-2026-20843 (RRAS)
CVE-2026-20860 (WinSock)
CVE-2026-20871 (DWM)
高リスク(CVSS 8.8)の脆弱性
CVE-2026-20868 (RRAS)
CVE-2026-20947/20963 (SharePoint)
これらのアップデートは、悪用の可能性が高いコンポーネントや、セキュリティ侵害チェーンで頻繁に使用されるコンポーネントに対応しているため、ワークステーションとサーバーの両方で優先的に適用すべきです。
1〜2週間以内にパッチを適用
初期の緊急ウィンドウに続いて、次に展開されるパッチセットには、ファイルシステムとドライバーの問題、プラットフォームサービス、他のエクスプロイトと対になるとリモートコーディングの実行や権限の昇格につながるOfficeの脆弱性が含まれています。
ファイルシステム & ドライバ EoP(例: 追加の NTFS/CLFS バリアント)
WindowsプラットフォームとUIコンポーネント(インストーラー、Shell、ファイルエクスプローラー)
オフィス文書の処理(Word、Excel)
サーバーロール (SQL サーバー, WSUS, Windows 設定 Services)
これらのパッチは、最初の重要な波が検証された後に設定されるべきです。
定期的なパッチのリズム
残りの脆弱性は、一般的に深刻度が低いか、悪用される可能性が低いと評価されているため、通常のメンテナンスウィンドウに組み込むべきです。
Hyper-V、SMB サーバーのバリアント、Kerberos、NDIS、およびレガシーサービスなどのコンポーネント
WalletService、TWINUI、リモートアシスタンスのようなUI/UXコンポーネント
エクスプロイトの可能性が低い軽微なOffice/SharePointの問題
再発行された非MicrosoftのCVE
Microsoftは、レガシーモデムドライバーとChromiumベースのEdgeに影響を与える3つの非Microsoft CVEも再公開しました。
CVE-2023-31096: Agere Windowsモデムドライバー
CVE-2024-55414: Windows Motorola ソフトモデムドライバー
CVE-2026-0628: Microsoft Edge(Chromiumベース)
これらのCVEは影響を受ける環境についてレビューされるべきですが、通常はまだ存在し搾取可能な場合を除いて、低い優先度に従います。
Splashtop AEMがどのように役立つか
1月のパッチ火曜日は、積極的に悪用される脆弱性と悪用される可能性のある脆弱性が遅延したパッチサイクルと交錯することで、エンドポイントリスクがどれほど速くエスカレートするかを強調しています。Splashtop AEM は、ITチームがより迅速に、より正確に、そして手間をかけずに対応できるように設計されています。
1. 活用されている脆弱性に迅速に対応する
CVE-2026-20805 のような脆弱性が積極的に悪用されている場合、パッチの適用時間が重要です。
Splashtop AEM を使用すると�、次のことが可能になります:
リアルタイムのOSパッチ適用により、遅延チェックインモデルと比較してWindowsおよびmacOSの露出時間を短縮
高リスクの脆弱性の即時修正。定期メンテナンスサイクルを待たずに実施
中央集約された可視性により、パッチ火曜日の後にどのエンドポイントが露出したままかを確認
これにより、搾取が確認された際に、チームは最善の努力に頼るタイムラインの展開ではなく、迅速に行動を起こすことができます。
2. 自動化されたCVEベースのパッチ適用で手作業を減らす
チームがまだ手動でパッチを適用している場合、1月のボリュームと悪用可能性の組み合わせは、運用的にすぐに圧倒されるものになります。
Splashtop AEMは次のように役立ちます:
脆弱性を直接CVEレベルの洞察にマッピングし、優先順位付けを明確にする
ポリシーに基づくワークフロー を通じてパッチ設定を自動化する
カスタムスクリプトなしでワークステーションとサーバー全体で一貫した修正を確保
これにより、スプレッドシートや単発のスクリプト、時間外のパッチ適用に依存することが減ります。
3. Microsoft Intune によって残されたギャップを埋める
Microsoft Intuneはベースラインのエンドポイント管理を提供していますが、Patch Tuesdayではその限界がしばしば露呈します。
Splashtop AEMは、Intuneを補完します:
リアルタイムパッチ実行、遅延した更新サイクルではなく
サードパーティアプリケーションのパッチ適用範囲の拡大
高リスクの脆弱性に対する修正時間の詳細設定
これは、攻撃者が最初のアクセス後に頻繁に悪用するファイルシステム、ドライバー、およびWindowsサービスの脆弱性に対して特に価値があります。
4. 従来のRMMのシンプルな代替
主にパッチ適用と可視性のためにRMMを使用しているチームにとって、複雑さは高リスクのリリースサイクル時に対応を遅くする可能性があります。
Splashtop AEM の提供内容:
スピードと明快さに焦点を当てた軽量プラットフォーム
組み込みのダッシュボード、インベントリレポート、およびスクリプト作成
リングベースの設定 により、広範囲の展開前にパッチを検証します
これは、チームが完全なRMMツールセットの負担をかけずにコントロールを維持するのに役立ちます。
ITチームへの最終的な考え
2026年1月のパッチ火曜日は、意味のある量とリスクの高まりが組み合わさっています。1つの積極的に悪用されている脆弱性、「Exploitation More Likely」とされる幅広いCVEのセット、そしてWindowsコアサービス全体にわたる高重大度の問題が、ITチームにとっての馴染みある現実を強化しています。遅れた、または不一致なパッチにより、攻撃者が特権を昇格させ、横方向に移動し、妥協を深める機会が生まれ続けています。
構造化されたリスクベースのパッチ適用アプローチを採用することで、チームはまず最も重要なことに集中しつつ、多様な環境での安定性を維持することができます。公開されたシステムへの可視性、利用が確認された際に迅速に対処する能力、そして手動労力を削減する自動化は、今や必須であり、オプションではありません。
Patch Tuesday リスクへの対応を改善したいとお考えの場合は、Splashtop AEM の無料トライアルを開始して、リアルタイムパッチ、CVEベースのインサイト、自動修正がどのようにリスクを軽減し、エンドポイントセキュリティの操作を簡素化するのに役立つかをご確認ください。
