STEAM
PC ゲーム
マイクロソフト、2026年5月のアップデートで120の脆弱性を修正
2026年5月12日、マイクロソフトは120の脆弱性に対する修正を公開しましたが、ゼロデイの開示はありませんでした。それでも、エンタープライズの防御者は、ドキュメント処理、アイデンティティ基盤、コラボレーションプラットフォーム、仮想化環境、標準的なWindowsネットワークなどに関連する幅広いリスクに対応する必要があります。
5月のセキュリティパッケージの主なポイント
2026年5月の「パッチチューズデー」アップデートには、17件の重大な脆弱性が含まれており、そのうち14件はリモートコード実行(RCE)に関する欠陥でした。組織は、これらの更新を迅速に評価し、システム全体に展開する必要があります。パッチ管理者は、ビジネスシステムが障害を引き起こすことなく最初の更新波に対応できるかどうかを判断するという重要な課題に直面しています。
エンタープライズパッチの複雑性
エンタープライズのパッチチームは、今月の更新がさまざまなシステムにまたがるため、多面的な「パッチ順序問題」に直面しています。対象システムには以下が含まれます:
- Officeエンドポイント
- ドメインコントローラー
- DNS依存のWindowsシステム
- SharePointデプロイメント
- Hyper-Vホスト
これらのシステムはそれぞれ異なるチームによって管理されており、パッチスケジュール、ロールバック手順、メンテナンスウィンドウも異なります。単一のマイクロソフトリリースでこれらすべての領域をカバーしても、更新の調整は運用上の課題となります。
最近のパッチサイクルとの比較
過去数ヶ月では:
- 2月に6つのアクティブなゼロデイが対応されました。
- 4月には167件の脆弱性が含まれ、そのうち2件がゼロデイでした。
2026年5月にはゼロデイの開示がないものの、防御者の作業量が減るわけではありません。最近の各更新は、緊急展開の速度、障害リスク、重要なシステムの検証時間との間で妥協を強いられており、優先順位付けの負担が累積しています。
2026年5月の脆弱性の内訳
マイクロソフトの5月のリリースには以下が含まれます:
- 31件のリモートコード実行(RCE)脆弱性
- 61件の権限昇格(EoP)問題
- 14件の情報漏洩欠陥
- 8件のサービス拒否(DoS)脆弱性
- 6件のセキュリティ機能バイパス問題
- 13件のスプーフィング脆弱性
これらの中で、RCEの欠陥は任意のコードを実行可能にするため優先事項であり、EoPの脆弱性は権限、管理者境界、ユーザーからシステムへの移行に影響を与えるため、運用上の複雑性を増加させます。セキュリティチームは、パイロットテストから広範囲な展開に進む前にこれらの脆弱性を検証し、対処する必要があります。
5月にゼロデイ無し: 珍しい出来事
2026年5月は、ほぼ2年ぶりにゼロデイが悪用されたり公表されたりしない月次のマイクロソフトセキュリティアップデートとなりました。過去22ヶ月間で、マイクロソフトは月平均3.5件のゼロデイを記録しており、今月は静かではあるものの、修正作業が軽減されるわけではありません。
Officeの脆弱性: 持続的な懸念
ゼロデイがないにもかかわらず、Office関連の脆弱性は依然として重要な焦点です。マイクロソフトはOffice、Word、Excelの脆弱性に対処し、これらがRCEにつながる可能性があると指摘しました。一部はプレビューパネルに関連するリスクに結び付いています。従業員が請求書や履歴書、共有ファイルを頻繁にプレビューするため、これらの脆弱性には個別アプリケーションの更新を超えた広範なパッチ適用が必要です。
さらに、5月の更新にはCVE-2026-35421というPaintの脆弱性が含まれており、悪意のある拡張メタファイルを開くとコード実行が可能になる可能性があります。エンドポイントチームは、CVE-2026-40367、CVE-2026-40366、CVE-2026-40364のような、ラップトップ、共有ワークステーション、仮想デスクトップに影響する修正も優先する必要があります。
インフラストラクチャレベルのリスク
5月の更新には、エンタープライズインフラに対して重大なリスクをもたらす脆弱性がいくつか含まれています:
- CVE-2026-41096: CVSSスコア9.8のWindows DNSクライアントにおけるヒープベースのバッファオーバーフロー脆弱性。このRCE欠陥は認証やユーザーの操作なしでリモートから悪用可能で、幅広いWindowsシステムに影響を及ぼします。
- CVE-2026-41089: CVSSスコア9.8のWindows Netlogonの重大な問題。認証されていない攻撃者がドメインコントローラー上でリモートコードを実行可能にします。認証の失敗を引き起こす可能性があるため、ドメインコントローラーのパッチ適用には、ビジネスクリティカルなサービスへのアクセスを妨げないよう特に注意が必要です。
SharePointとHyper-Vの懸念
SharePointの脆弱性はエンタープライズセキュリティチームにとって依然として懸念事項です。CVE-2026-40365は、SharePointサーバーをRCE攻撃にさらしますが、サイトオーナー権限が必要です。このため攻撃者の範囲は絞られますが、防御者は特権ユーザーの露出、外部公開、コラボレーションの広がりを評価してリスクを軽減する必要があります。
仮想化環境では、Hyper-VのCVE-2026-40402により深刻なリスクが生じます。この脆弱性では、攻撃者がゲストVMからホスト環境へのエスケープを可能にし、SYSTEM権限を取得します。この種の境界失敗は複数のワークロードに同時に影響を与えるため、仮想化チームによる即時対応が必要です。
2026年5月更新の運用影響
5月の更新は、Officeエンドポイント、DNS関連のWindowsシステム、ドメインコントローラー、SharePointサーバー、Hyper-Vホストを管理するチームを統一したメンテナンスウィンドウへと押しやります。ゼロデイがないにもかかわらず、今月の脆弱性の範囲と複雑性により、エンタープライズが対処するには運用的に負荷のかかる内容になっています。