Microsoft は、5 月のパッチ火曜日アップデートで、新たに発見された約 140 件の共通脆弱性およびエクスポージャー (CVE) に対処しましたが、久しぶりに、最新の月次ドロップにはゼロデイ欠陥が含まれていません。つまり、範囲内の問題はいずれも積極的に悪用されたり、公に公開されなかったことを意味します。
しかし、世界中のセキュリティ チームはパニックを誘発しないドロップを歓迎するでしょうが、2026 年 5 月のパッチ火曜日アップデートには 20 近くの重大度の重大な欠陥が含まれており、今後数日から数週間で脅威アクターの注意を引くことは避けられません。
Action1の脆弱性調査担当ディレクター、ジャック・バイサー氏は、「ゼロデイがないことは明るい兆しだが、特にここ数カ月と比べて重大な脆弱性の数が多いことは、組織が依然として迅速に行動して、影響を受けるシステムを評価し、アップデートを導入する必要があることを意味している」と述べた。
今月の更新は、セキュア ブート証明書の有効期限が数週間後の 6 月 26 日に発表されるため、特に重要です。現在リリースされている更新されたセキュア ブート証明書を受け取らないデバイスは、致命的な障害が発生したり、修正が不可能であることが判明している未発見のセキュリティ上の欠陥に直面する可能性があります。
「2026 年 5 月のアップグレード サイクルは、6 月 26 日の証明書の有効期限までの高リスクの橋渡しとなるため、フリート全体を新しい信頼できるアンカーにローテーションすることが今月の絶対的な優先事項です」と、ナイトウィングの ShadowScout チームの上級インシデント対応スペシャリストであるレイン ベイカー氏は述べています。
「先月のリリースで Windows Shell と Microsoft Defender のバイパスの欠陥に対するパッチを適用しなかったユーザーに対しては、セキュリティ チームがそれらを最優先にすることが不可欠です」と Baker 氏は付け加えました。
間違いがたくさんある
今月リリースされた重要な更新プログラムには、CVE-2026-41096 として追跡されている Windows DNS クライアントのリモート コード実行 (RCE) の欠陥に対する修正が含まれています。この脆弱性は Windows NetLogon のヒープベースのバッファ オーバーフロー状態に起因しており、認証されていない攻撃者が悪意のある DNS 応答を送信することでターゲット システムを乗っ取る可能性があります。
「DNS は企業環境で使用される中核的なネットワーク サービスであるため、この悪用はすぐに多数のシステムに影響を与える可能性があります」と Action1 の Bicer 氏は述べています。
「攻撃が成功すると、エンドポイントの広範な侵害、ランサムウェアの展開、資格情報の収集、企業ネットワークの運用の中断につながる可能性があります。
Bicer 氏はさらに、「この CVE は、その重大度評価、ネットワーク ベースの攻撃ベクトル、認証要件なし、ユーザー操作なしを考慮すると、直ちに対応する必要があります。DNS 関連の脆弱性は、企業インフラストラクチャで広く公開されているコア ネットワーク サービスを標的としているため、特に危険です。」と付け加えました。
また、今夜注目を集めているのは、別の RCE 問題である CVE-2026-42898 です。これは、Microsoft Dynamics 365 のオンプレミス バージョンにおける問題であり、共通脆弱性スコアリング システム (CVSS) スコアは 9.9 です。繰り返しますが、この問題はユーザーの介入を必要とせず、脆弱なコンポーネントの元のセキュリティ範囲を超えてシステムに影響を与える可能性があるため、企業に極度のリスクをもたらします。
Dynamics 365 インフラストラクチャに対するこれまでの攻撃により、重要な特権データが漏洩しました。CRM 環境は非常に多くの重要なシステムに接続しているため、悪用が成功すると大規模な侵害につながる可能性があります。
一方、Automox CTO の Jason Kikta 氏は、Windows Netlogon の RCE 欠陥である CVE-2026-41089 と、Hyper-V の特権昇格 (EoP) の脆弱性である CVE-2026-40402 を評価しました。
「CVE-2026-41089 – CVSS 9.8 of 10 – は、Windows Netlogon におけるスタックベースのバッファ オーバーフローです」と Kikta 氏は説明しました。 「攻撃者は、巧妙に作成されたネットワーク リクエストをドメイン コントローラーに送信します。認証は必要ありません。ユーザーの操作も必要ありません。これを十分に長く行っている場合、この記述言語は悲しいほど見覚えのあるものに聞こえます。
「Zerologon と直接線を引くことには注意します。根本的なバグは暗号プロトコルの障害ではなくスタック オーバーフローであり、Microsoft はこれをワーム可能とは分類していません。メカニズムは異なりますが、ドメイン コントローラーでの事前認証コードの実行について話している場合、爆発範囲は依然として醜いです。」
Hyper-V の問題は、ゲスト仮想マシン (VM) 内の権限の低いアカウントによって悪用され、システム レベルの権限でホスト上でコードを実行する可能性があります。 Kikta 氏は、侵害されたホストが同じホスト上の他のすべての VM のピボット ポイントとして機能する可能性があり、ホスト ファブリックがビジネスになる可能性があると警告しました。ホスト型デスクトップ環境と共有仮想化プラットフォームは、すぐに標的にされる可能性があります。
「マルチテナント VDI、信頼性の低いワークロードを伴うオンプレミスの仮想化、または完全に制御していないゲストを実行している Hyper-V ホスト。最優先事項に応じて、同じ週と同じ日にパッチを適用します」と Kikta 氏はアドバイスしました。
パッチ黙示録?
ゼロデイではないものの、レドモンドの最新アップデートは、Anthropic の Claude Mythos フロンティア AI モデルの破壊的とも言われる脆弱性発見機能に警戒する視聴者の懸念を和らげるにはほとんど役に立たない。
Ivanti のセキュリティ製品管理担当バイスプレジデントである Chris Goettl 氏は、多くの主要なソフトウェア ベンダーやその他のテクノロジー企業が、ここ数週間の変更に対応してパッチの適用をより積極的に行うことで、これらの懸念を真剣に受け止めていると述べました。
「オラクルは、Mythos や他の AI セキュリティ モデルによって導入された脆弱性検出の加速に対処するため、2026 年 5 月から新たなリリース サイクルを開始すると発表しました。毎月のクリティカル セキュリティ パッチ アップデート (CSPU) は、四半期ごとのクリティカル パッチ アップデート (CPU) 間の 2 か月のギャップを埋めることになります。」と同氏は述べています。
「Apple も Project Glasswing に初期から参加しており、最近解決された脆弱性の数が増加しています。通常、iOS セキュリティ アップデートごとに平均 20 CVE を発生します。 [but] 5 月 11 日の最新アップデートでは、52 CVE のスパイクが解決されました。 Apple の 11 回のアップデートを通じて、CVE カウントはローエンドの 25 からハイエンドの 52 までの範囲であり、Apple は iPhone 6s と iOS 15 までに変更を加えてきました。積極的に悪用された脆弱性はありませんが、管理すべきアップデートは数多くあります。
一方、Claude Mythos の適用後に 270 を超える脆弱性が特定されたと言われている Firefox ブラウザのスポンサーである Mozilla も、2026 年 4 月の Firefox 150.0.0 のリリース以来、セキュリティ アップデートをより積極的な毎週のペースに移行し、今日 Firefox バージョン 150.0.3 (5 月 12 日に削除) をリリースしました。
:quality(85):upscale()/2026/05/01/562/n/49351758/edcb176369f49cccc7da11.40350773_.jpg "たとえ許される資格がないとしても、人々を許すべき事例")
