Reading Time: 2 minutes
こんにちは、ManageEngineコンテンツ担当の園部です。
2026年4月のMicrosoftセキュリティ更新プログラムの概要を解説します。
新年度が始まり慌ただしい日々が続く2026年4月、Microsoftは163件もの脆弱性の修正を行いました。これは2025年10月の167件に次ぐ史上2番目の大規模アップデートであり、セキュリティ管理者にとっては、非常に重要な月となっています。
月例のセキュリティ更新プログラムとは?
月例のセキュリティ更新プログラムとは、Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他のアップデートのことを指します。(「パッチチューズデー(Patch Tuesday)」と呼ぶことも)
この月例セキュリティ更新プログラムで、バグや脆弱性・ゼロデイ脆弱性を修正するための重要なセキュリティアップデートが多くリリースされます。 なお、緊急性が高く頻繁に悪用される脆弱性が発見された場合は、「パッチチューズデー」以外の日にパッチがリリースされることもあります。
2026年4月度のMicrosoftセキュリティ更新プログラムの概要
冒頭でも述べたとおり、Microsoft社は4月に163件(CVE番号ベース・Microsoft製品のみ)の脆弱性に対する修正を行いました。サードパーティ(Chromium、AMD、Node.js、Git for Windows等)を含めると最大168件前後となります。
修正された163件の脆弱性の深刻度の内訳は以下の通りです。
- Critical(緊急):8件
- Important(重要):154件
- Moderate(警告):1件
また、脆弱性の種類別の内訳は以下の通りです。
| 脆弱性の種類 | 件数 |
| 特権の昇格(EoP) | 93件 |
| リモートコード実行(RCE) | 20件 |
| 情報漏洩(Information Disclosure) | 20件 |
| セキュリティ機能のバイパス(SFB) | 12件 |
| サービス拒否(DoS) | 9件 |
| なりすまし(Spoofing) | 8件 |
| その他(改ざん・多層防御等) | 1件 |
今回の最大の特徴は、全体の57%を特権昇格(EoP)が占めているという点です。
Desktop Window Manager、WinSock AFD、TDI Translation Driver、CLFS Driverなど多数のWindowsコンポーネントにわたって、SYSTEM権限への昇格を可能にするuse-after-free型の脆弱性が多く発見されています。
また、セキュリティアップデートには、以下の製品や機能が含まれています。
エンドユーザーの多くが利用する「Microsoft Office」に関する脆弱性の修正が数多くあります。
特に「Microsoft Word」の脆弱性については影響度が「緊急」と評価されているものが2件含まれ、プレビューウィンドウ経由で攻撃されてしまう可能性があるため、できる限り早い修正プログラムの適用が推奨されます。
加えて、「SharePoint Server」についてはゼロデイ脆弱性(実際の攻撃での悪用確認済み)が報告されています。
- .NET / .NET Framework
- Active Directory
- Microsoft Defender
- Microsoft Dynamics 365
- Microsoft Edge (Chromium ベース)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Power Apps
- PowerShell
- SQL Server
- Visual Studio / GitHub Copilot
- Windows Active Directory 証明書サービス
- Windows BitLocker
- Windows Boot Manager
- Windows CLFS ドライバー
- Windows COM
- Windows DWM Core ライブラリ
- Windows Desktop Window Manager
- Windows Digital Media
- Windows Function Discovery Service
- Windows Hello
- Windows Hyper-V
- Windows IKE サービス拡張
- Windows Kerberos
- Windows Projected File System
- Windows Push Notifications
- Windows Remote Desktop クライアント
- Windows Secure Boot
- Windows Shell
- Windows TCP/IP
- Windows TDI Translation Driver
- Windows UPnP Device Host
- Windows WinSock AFD (Ancillary Function Driver)
- Windows カーネル
- Azure Logic Apps
- Azure Monitor Agent
その他に、以下の製品の脆弱性も修正されています。
- Microsoft Edge (Chromium ベース) ※Chromium由来の約80件を含む
2026年4月に修正されたゼロデイ脆弱性
今回の月例パッチでは、2つのゼロデイ脆弱性へのアップデートが提供されました。うち1件は実際の攻撃での悪用が確認されています。
| CVE番号 | 概要 | 備考 |
| CVE-2026-32201 | Microsoft SharePoint Server のなりすましの脆弱性 | 悪用確認済み。 不適切な入力検証によるクロスサイトスクリプティング(XSS)の脆弱性です。ネットワーク経由で認証不要・ユーザー操作不要で攻撃が可能です。攻撃者がSharePointの機密情報を閲覧・改ざんする可能性があり、CISAのKEV(Known Exploited Vulnerabilities)カタログに追加済みで、修正期限は2026年4月28日とされています。SharePoint 2016、2019、SharePoint Server Subscription Editionが対象です。CVSS: 6.5 |
| CVE-2026-33825 | Microsoft Defender の特権の昇格の脆弱性(通称「BlueHammer」) | PoC(概念実証コード)公開済み。 TOCTOU競合状態と署名更新メカニズムのパス混乱を悪用し、ローカルの低権限ユーザーがSYSTEM権限に昇格可能です。2026年4月3日に研究者がPoCを公開しました。Microsoft Defenderマルウェア対策プラットフォーム バージョン4.18.26050.3011で修正されます(通常は自動更新)。CVSS: 7.8 |
参考として、Chromium関連のゼロデイ脆弱性 CVE-2026-5281(Dawn/WebGPUにおけるUse After Free)もCISA KEVに追加されており、Microsoft Edgeの更新にも含まれています。
深刻度がCriticalの脆弱性とパッチ
2026年4月にリリースされた深刻度が「緊急」の脆弱性の概要と対応するパッチは以下の8点です。
| CVE番号 | 影響を受けるコンポーネント | 概要 | CVSS |
| CVE-2026-33824 | Windows IKEサービス拡張 | リモートでコードが実行される脆弱性。Double Free脆弱性により、IKE v2が有効なWindowsマシンに細工されたパケットを送信するだけで、認証不要・ユーザー操作不要でRCEが可能。ワーム化のリスクあり。 緩和策としてUDPポート500/4500のブロックが有効です。 | 9.8 |
| CVE-2026-32157 | リモートデスクトップクライアント | リモートでコードが実行される脆弱性 | 8.8 |
| CVE-2026-32190 | Microsoft Office | リモートでコードが実行される脆弱性。プレビューウィンドウが攻撃ベクターとなり、ドキュメントを開かなくてもプレビューするだけで攻撃が成立する可能性があります。 | 8.4 |
| CVE-2026-33114 | Microsoft Word | リモートでコードが実行される脆弱性。同じくプレビューウィンドウ経由で攻撃が成立する可能性があります。 | 8.4 |
| CVE-2026-33115 | Microsoft Word | リモートでコードが実行される脆弱性。同じくプレビューウィンドウ経由で攻撃が成立する可能性があります。 | 8.4 |
| CVE-2026-33827 | Windows TCP/IP | リモートでコードが実行される脆弱性。IPv6とIPSecが有効なシステムに対し、細工されたIPv6パケットでRCEが可能。ワーム化のリスクあり。 競合状態の利用が必要なため攻撃複雑度は「高」です。 | 8.1 |
| CVE-2026-33826 | Windows Active Directory | リモートでコードが実行される脆弱性。同一ドメイン内の認証済み攻撃者が細工されたRPCコールを送信することでRCEが可能。Microsoftは「悪用される可能性が高い」と評価しており、ドメイン乗っ取りに直結するリスクがあります。 | 8.0 |
| CVE-2026-23666 | .NET Framework | サービス拒否の脆弱性。ネットワーク経由で認証不要の攻撃が可能であり、.NETベースのWebアプリケーションへの影響が懸念されます。 | 7.5 |
特に注目すべきは CVE-2026-33824(IKEサービス、CVSS 9.8) で、今回最高の深刻度スコアとなります。
認証不要・ユーザー操作不要でリモートコード実行が可能であり、セキュリティ研究者からワーム化のリスクが指摘されています。Windows Server 2025/2022/2019/2016およびWindows 10/11の全アーキテクチャが対象で、UDPポート500および4500をブロックする暫定的な緩和策が推奨されています。
2026年4月の注意事項:Secure Boot証明書の期限問題
2011年に発行されたオリジナルのSecure Boot証明書が2026年6月26日に失効します(パッチリリースから73日後)。失効までに2023年発行の新しい証明書に更新しないシステムでは、Windows Boot Managerのセキュリティ修正を受け取れなくなり、BlackLotus(CVE-2023-24932)などのブートキット攻撃への保護が失われます。
4月のアップデートでは、Windows Securityアプリに証明書の状態が表示されるようになりました。管理者の皆様は、6月の失効前にすべてのシステムで証明書更新を完了するよう計画を立てることが強く推奨されます。
その他の既知の問題は以下の通りです。
| 項目 | 内容 |
| BitLocker回復の問題 | Secure Boot更新後にBitLocker回復モードに入る問題が修正 |
| CAPI/CSPの非推奨化 | DisableCapiOverrideForRSAレジストリの回避策サポートが完全に削除。RSAベースのスマートカード証明書にはKSP(CNG)が唯一のサポート方法に |
| RDPファイルのフィッシング対策 | .rdpファイルを開く際に接続設定が事前表示され、すべての設定がデフォルトでオフになる新セキュリティ警告が追加 |
| カーネルドライバー署名の変更 | 廃止されたクロス署名ルート証明書プログラムで署名されたすべてのカーネルドライバーの信頼が削除 |
主なWindows更新プログラムのKB番号
| OS バージョン | KB番号 |
| Windows 11 26H1 | KB5083768 |
| Windows 11 25H2/24H2 | KB5083769 |
| Windows 11 23H2 | KB5082052 |
| Windows 10 (ESU) | KB5082200 |
まとめ:優先対応すべきポイント
今回のパッチは163件と非常に大規模ですが、優先的に対応すべきポイントは明らかです。
- CVE-2026-32201(SharePointゼロデイ) のパッチを4月28日のCISA期限前に適用する
- Microsoft Defender(CVE-2026-33825) のBlueHammer脆弱性が自動更新で修正されていることを確認する
- CVE-2026-33824(IKE、CVSS 9.8)およびCVE-2026-33827(TCP/IP) のワーム化可能な脆弱性に対し、パッチ適用またはUDPポート500/4500の暫定ブロックを実施する
- CVE-2026-33826(Active Directory RCE) はドメイン乗っ取りのリスクがあるため、AD環境の管理者は即座に対応する
- Secure Boot証明書の更新 を2026年6月26日の失効前に完了する計画を立てる
93件の特権昇格脆弱性の多さは、初期侵入後の横展開を防ぐ縦深防御の重要性を改めて浮き彫りにしています。速やかなパッチ適用を強く推奨いたします。
なお、ゾーホージャパン株式会社が提供するIT運用管理製品群「ManageEngine」では、セキュリティアップデートを始めとしたパッチを簡単かつ効率的に管理できるソリューションを提供しております。
セキュリティアップデートを漏れなく確実に適用するために、製品の導入もぜひご検討ください。
パッチ管理から始めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理だけでなく、包括的にエンドポイント管理を実現するならEndpoint Central
【Endpoint Central 概要資料のダウンロードはこちら】
【Endpoint Central 評価版のダウンロードはこちら】
セキュリティとIT運用の最新事情を学べるイベント「ITCON」
ゾーホージャパン株式会社では、2026年5月と7月に、情報システム・DX推進をご担当される皆様が直面するITセキュリティやIT運用の課題の解決法をご提案するイベント「ITCON(アイティーコン)」を開催いたします。
ITCONでは、「経産省のセキュリティ対策評価制度に対応するソリューション」や、「IT運用業務に活かせるAI機能」にフォーカスしたManageEngineソリューションをご紹介いたします。
IT運用の効率化や、ITセキュリティに課題をお持ちの方は、ぜひご参加ください。
ITCON 名古屋 2026
| 開催日時 | 5月20日(水)14:00~17:00 |
| 会場 | 名古屋マリオットアソシアホテル |
| お申し込み | https://www.manageengine.jp/news/seminar-itcon202605.html?MEblog |
ITCON 東京 2026
| 開催日時 | 7月3日(金)13:00~17:00 |
| 会場 | ANAインターコンチネンタルホテル東京 |
| お申し込み | https://www.manageengine.jp/news/seminar-itcon20260703.html?MEblog |
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。