Microsoft Edge の新脆弱性を解説─オートフィルが招くコード実行のリスク

[更新]2026年7月9日

Googleで優先するソースとして追加するボタン

「ブラウザくらい、そう簡単には壊れないだろう」——多くの人が、そう思って毎日 Edge を開いているはずです。ところが2026年7月6日、その安心にそっと問いを投げかけるニュースが飛び込んできました。細工されたページで、たった数回の何気ない操作。その先で、あなたのパソコンが乗っ取られる引き金が引かれるかもしれない。しかも狙われたのは、住所や決済情報をラクに入力してくれる、あの便利な「自動入力」の周辺でした。便利さの顔をした機能が、ふとした瞬間に牙をむく。今回の一件は、私たちが毎日くぐっている「ネットの玄関」を、もう一度見つめ直すきっかけになりそうです。


Microsoft は、Microsoft Edge(Chromiumベース)に任意コード実行を許す脆弱性が存在することを公表した。

この脆弱性は CVE-2026-57992 として管理され、Use-After-Free によるメモリ破損に起因する。CVSS スコアは 7.5(High)である。攻撃経路はネットワーク経由で、ユーザーの操作を必要とし、攻撃複雑性は高いとされる。参照元記事によれば、攻撃者が細工したWebページで被害者が2回のタップ操作を行いオートフィル機能を作動させると、Use-After-Free の状態が引き起こされるという。影響を受けるのは Microsoft Edge 150.0.4078.48 より前のバージョンで、この脆弱性は 2026年7月にリリースされた 150.0.4078.48 で修正されている。参照元記事では、同版が Chromium 150.0.7871.47 ベースとされている。緩和策として、MSRC の監視、最新版への更新、不審なリンクや添付ファイルの回避、Enhanced Security Mode の有効化、オートフィル機能の制限が挙げられている。

From: Microsoft Edge Vulnerability Allows Remote Attacker to Execute Arbitrary Code

【編集部解説】

まず、今回のニュースの位置づけを整理しておきましょう。2026年7月、Microsoft は Edge の安定版をバージョン 150.0.4078.48 へと更新しました。この一本のアップデートには、実は CVE-2026-57992 だけでなく、多数の脆弱性の修正がまとめて含まれています。香港のセキュリティ機関 HKCERT が公開した注意喚起も、本件を「複数の脆弱性(Multiple Vulnerabilities)」として、CVE-2026-57992 を含む長大なCVE一覧とともに扱っています。つまり本件は「単発の重大事件」というより、Edge に定期的に施される多数の修正の一部として理解するのが正確です。

ここで、事実関係を正確に押さえておきます。参照元記事は本脆弱性を「CVSS 7.5」「公開時点でパッチ未提供」と記していました。しかし一次情報にあたると、影響を受けるのは 150.0.4078.48 より前のバージョンであり、この脆弱性はまさに 150.0.4078.48 で修正済みです。HKCERT も解決策として「150.0.4078.48 以降への更新」を案内しています。参照元記事の「パッチ未提供」という表現は、執筆・公開のタイミングに由来する可能性がありますが、読者のみなさんが取るべき行動は明快です。ご自身の Edge が 150.0.4078.48 以降になっているかを確認し、そうでなければ更新すること。これに尽きます。番号や修正状況の最終的な確認は、一次情報である MSRC の Security Update Guide に当たるのが安心でしょう。

そのうえで、本件の技術的な核心である Use-After-Free(解放済みメモリ使用、以下UAF)を説明します。プログラムは処理のたびにメモリ領域を「確保しては解放」を繰り返しています。UAFとは、いったん解放した領域を指し示す「古い矢印(ポインタ)」が残ったまま、その領域を再び使ってしまう不具合です。攻撃者はこの隙に、解放された領域へ自分の用意したデータを滑り込ませ、プログラムの制御を乗っ取ります。ブラウザは、ページを描画し、スクリプトを動かし、無数のオブジェクトを生成・破棄し続ける宿命ゆえに、この種のバグと長い付き合いを続けてきました。

今回の攻撃手口について、参照元記事はEdge の「オートフィル」機能を不用意に作動させる操作が引き金になると報じています。ただし、この「オートフィル起点」「2回のタップ」という具体的な描写は、現時点で CVE/NVD や MSRC の公開データからは確認できていません。参照元記事に固有の記述として受け止めておくのが妥当です。とはいえ、オートフィルという機能そのものは注目に値します。住所や決済情報を自動入力してくれる便利機能ですが、Edge の場合は Microsoft アカウントや同期機能と結びつく範囲が広いぶん、「信頼の境界線」を丁寧に見ておく必要があります。便利さと安全性が表裏一体であることを、この一件は静かに物語っています。

影響範囲についても、冷静な線引きが必要です。参照元記事が強調するとおり、この攻撃は「利用者の操作」を必要とします。CVSS のベクトルでも「UI:R(ユーザー操作が必要)」とされており、攻撃者は被害者を細工したページへ誘い込み、操作させてはじめて成立します。これは、クリックすら不要で感染が広がる「ドライブバイ」型よりも、現実の危険度が一段低いことを意味します。一方で、ここには落とし穴もあります。「ユーザー操作が必要=起こりにくい」と読み替えるのは早計です。現代の攻撃は、本物そっくりのメール、見慣れたログイン画面、いつもの業務フローに紛れ込む形で「操作させる」ことに長けているからです。成功すれば、ブラウザ権限でのコード実行を足がかりに、横展開やデータ窃取へつながる可能性も残ります。

規制や運用の観点では、本件は「ブラウザが Windows の重要なセキュリティ境界の一つになった」という大きな流れを映し出しています。かつて月次の Patch Tuesday に合わせて更新を管理していた企業は、いまや短い周期で走る Chromium 由来の更新サイクルに追随せねばなりません。この更新サイクルは近年おおむね4週間ごとですが、2026年後半にはさらに短い周期へ移行する見通しも報じられています。Edge は Stable と Extended Stable が別々に配信され、WebView2 のようなコンポーネントも個別に存在します。「一つ当てれば安心」ではなく「Edge という面(サーフェス)全体を塞ぐ」発想が、組織のIT管理者に求められています。

長期的な視点で見れば、この一件は「メモリ安全性」という積年の課題を改めて突きつけます。Chromium の中核はいまだC++で書かれた膨大なコードを抱え、そこが攻撃者にとって豊かな標的であり続けています。実際、Chromium プロジェクト自身、深刻なセキュリティバグの約7割がメモリ安全性の問題に由来すると説明してきました。Google と Microsoft は、サンドボックスや各種の緩和技術、そして新規コードの一部への Rust 採用といった対策を積み重ねています。それでも「たった一本の不正なポインタ」が防壁を貫きうる現実は変わりません。ブラウザが仕事・決済・認証の「玄関」となった時代に、その玄関の鍵をどう守り続けるか。私たちが Edge の更新履歴を丁寧に読む理由は、そこにあります。

【関連記事】

Google Chrome、6つのセキュリティ脆弱性を修正|国家支援型攻撃に使用されるゼロデイ脆弱性を含む
Chromium由来の欠陥がEdge・Brave・Opera等へ波及する構造と、サンドボックス回避によるシステム侵害への脅威上昇を論じた記事。

Chrome緊急修正:V8エンジンのゼロデイ脆弱性CVE-2025-5419が悪用中
Use-After-Freeやメモリ破損、CVE/CVSSといった用語を丁寧に解説しており、本記事の用語解説と補完し合う記事。

DeepSeek生成検体からChromiumのFile System Access API悪用手法、ブラウザ内で完結するランサムウェアPoCをCheck Pointが実証
ブラウザ機能とユーザーの許可・操作を突く攻撃という論点が、本記事のオートフィルやソーシャルエンジニアリングの議論と重なる記事。

【編集部後記】

正直なところ、この原稿を書き始めたときは「よくあるブラウザの脆弱性の一つ」くらいの気持ちでした。けれど元記事の数字やバージョンを一つずつ照らし合わせていくうちに、思っていたより手が止まる場面が何度もありました。「パッチはまだない」と書かれているのに、影響を受けるとされるバージョンは、もう修正が配られたあとのもの。どちらが本当なのかを確かめるために公式の情報までたどってみて、ようやく「すでに直っている。あとは更新するだけ」という、いちばん知りたかった結論にたどり着けました。

情報が飛び交うほど、何が確かで、自分は何をすればいいのかが、かえって見えにくくなる。今回いちばん実感したのは、そのことでした。脆弱性のニュースは、放っておくと不安だけを置いていきます。でも、仕組みが少しわかって、やることが「バージョンを確かめる」の一点に絞れた瞬間、その不安はふっと軽くなりました。

もう一つ、ずっと頭の片隅にあったのは「便利さ」との付き合い方です。自動入力も、保存されたパスワードも、私たちの毎日をたしかに軽くしてくれています。それを手放す必要はきっとありません。ただ、便利なものほど深くシステムに根を張っていて、いざというときの入り口にもなりうる——そのことを、頭の隅に置いておくだけでいい。次にブラウザが「更新できます」と告げてきたら、いつもより少しだけ早く、そのボタンを押してみる。今日のところは、そのくらいの小さな一歩から一緒に始められたらと思っています。


【用語解説】

CVE(Common Vulnerabilities and Exposures)
公開されたセキュリティ脆弱性に世界共通の識別番号を割り振る仕組み。「CVE-2026-57992」のように「西暦+通し番号」で表され、報道や対策を混乱なく突き合わせるための共通言語として機能する。

Use-After-Free(UAF/解放済みメモリ使用)
いったん解放したメモリ領域を指す古いポインタが残り、その領域を再び使ってしまうメモリ管理上の欠陥。CWE-416として分類され、データ破損や情報漏えい、任意コード実行につながる場合がある。

CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0〜10.0の数値で表す業界標準の指標。7.0〜8.9が「High(高)」、9.0〜10.0が「Critical(緊急)」とされ、今回の7.5はHighの帯に位置する。

任意コード実行(Arbitrary Code Execution/RCE)
攻撃者が標的の端末上で自分の望むプログラムを走らせられる状態。ブラウザの権限で実行されるため、そこを足場にデータ窃取や侵入拡大へつながりうる。

オートフィル(Autofill/自動入力)
氏名・住所・決済情報などをブラウザが自動で入力する機能。Edge では Microsoft アカウントやOSと深く結びついている。参照元記事は、この機能の作動が本件の引き金になると報じている。

ドライブバイ(ダウンロード)攻撃
利用者がクリックなどの操作をせずとも、悪意あるページを表示しただけで感染が成立する攻撃手法。今回の脆弱性は利用者の操作を必要とするため、この型よりは現実の危険度が一段低いとされる。

ラテラルムーブメント(横展開)
最初に侵入した1台を足がかりに、同じネットワーク内の他の端末やサーバーへ侵入範囲を広げていく攻撃者の動き。

Chromium
Google が主導するオープンソースのブラウザエンジン。Chrome、Edge、Brave、Opera などが共通の基盤として採用しており、ここで見つかった欠陥は多くのブラウザに波及しうる。

Enhanced Security Mode(強化セキュリティモード)
Edge に備わる保護機能。JIT(実行時コンパイル)の無効化やOS保護の有効化などにより、攻撃者が悪用しやすい仕組みをあえて制限し、未知の攻撃に対する防御を厚くする設定。

Patch Tuesday
Microsoft が毎月第2火曜日にまとめてセキュリティ更新を配信する慣例。一方 Edge は Chromium 由来の更新サイクルに従うため、この月次リズムの外側でも修正が随時配信される。

MSRC(Microsoft Security Response Center)
Microsoft 製品の脆弱性報告と対応を担う中枢組織。CVE ごとの詳細や影響バージョン、修正状況を公開する Security Update Guide を運営しており、本件の一次情報源となる。

【参考リンク】

Microsoft Edge 公式サイト(外部)
Edge のダウンロードや機能紹介を提供する Microsoft の公式ページ。更新の確認手順も掲載されている。

MSRC Security Update Guide(外部)
Microsoft 製品の脆弱性情報を一元的に公開する公式ポータル。CVE ごとの詳細を確認できる一次情報源である。

Microsoft Edge セキュリティ更新リリースノート(外部)
Edge の各版で修正されたセキュリティ問題を時系列でまとめた Microsoft 公式文書である。

Chromium プロジェクト公式サイト(外部)
Edge の基盤であるオープンソースブラウザエンジンの公式サイト。設計思想や開発情報が公開されている。

ANY.RUN(外部)
不審なファイルやURLを隔離環境で動かし挙動を観察する、対話型のマルウェア解析サービスである。

【参考記事】

Release notes for Microsoft Edge Security Updates(Microsoft Learn)(外部)
Edge 安定版 150.0.4078.48 がリリースされ、本件が修正済みである事実を確認できる一次情報である。

Edge 150 Update Closes Use-After-Free Vulnerability CVE-2026-57986(Windows News)(外部)
同版がオートフィルの信頼境界に絡むUAF(深刻度Important)を修正したと報じる記事である。

CVE-2026-50521: Patch Every Microsoft Edge Update Package for RCE(Windows Forum)(外部)
Edge が分散したコンポーネント全体で守るべき対象になったと論じる記事である。

Microsoft Edge Multiple Vulnerabilities(HKCERT)(外部)
CVE-2026-57992 を含む多数のCVEを一覧化し、更新を促す香港のセキュリティ機関の注意喚起である。

Update Now: Microsoft Edge 150.0.4078.48 Closes Critical RCE(Windows News)(外部)
同版の別RCE修正に触れ、Rustなど安全な言語への移行という長期的論点を補強した記事である。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。