エクスプロイト&脆弱性
2026年4月 セキュリティアップデート解説:Microsoft社は247件、Adobe社は61件の脆弱性に対応
今月もまた Patch Tuesday の時期がやってきましたが、今回は非常に大規模です。さらに、すでに実際に悪用されているエクスプロイトも複数確認されており、今月のリリースには一段と高い緊急性があります。
今月もまた Patch Tuesday の時期がやってきましたが、今回は非常に大規模です。さらに、すでに実際に悪用されているエクスプロイトも複数確認されており、今月のリリースには一段と高い緊急性があります。いつもの作業を少し中断して、Adobe と Microsoft の最新のセキュリティパッチを見ていきましょう。リリース全体を取り上げた動画による総まとめをご覧になりたい場合は、こちらをご確認ください。
2026年4月Adobe社からのセキュリティアップデート
4月のAdobeは、Adobe Acrobat Reader、InDesign、InCopy、FrameMaker、Connect、ColdFusion、Bridge、Photoshop、Illustrator、Experience Manager Screens、および Adobe DNG SDK に関する61件の固有のCVEに対応する12件の情報を公開しました。ColdFusion の不具合のうち3件は、TrendAI ZDI プログラムを通じて報告されたものです。今月は、Adobe 用の表も新たに導入しています。これが役立つかどうか、ぜひご意見をお聞かせください。
今月最優先となるのは、言うまでもなく Reader における実際の攻撃です。ただし、Reader の2つ目の一連のパッチも見過ごさないでください。ColdFusion も展開優先度1となっているため、引き続きこのプラットフォームを運用している場合は、必ずアップデートを適用してください。そのほか、FrameMaker と Connect のパッチでは、それぞれ11件と9件の不具合が修正されています。InDesign と Experience Manager Screens でも、それぞれ9件のCVEに対応しています。
Reader の不具合を除くと、Adobe が今月修正したその他の不具合は、リリース時点で公開既知または実際の攻撃下にあるものとしては挙げられていません。Reader の不具合のうち1件と ColdFusion は展開優先度1、もう1件の Reader の不具合は優先度2であり、Adobe が今月公開したその他すべてのアップデートは展開優先度3に分類されています。
2026年4月Microsoft社からのセキュリティアップデート
今月、Microsoft は Windows および Windows コンポーネント、Office および Office コンポーネント、Microsoft Edge(Chromium ベース)、Azure、.NET と Visual Studio、SQL Server、Hyper-V Server、BitLocker、Windows Wallet Service において、163 件もの新たな CVE を公開しました。サードパーティ製品分と大規模な Chromium のリリースを含めると、CVE の総数は驚異的な 247 件の更新に達します。これらのうち 6 件は、TrendAI ZDI プログラムを通じて報告されたものです。また、8 件は深刻度が緊急、2 件は警告と評価されており、残りはすべて重要と評価されています。
私の集計では、これは Microsoft の歴史の中で 2 番目に大規模な月例リリースです。この件数の多さを説明する要因についてはさまざまな推測ができますが、Microsoft が他のプログラム(当社のものを含む)と同様であれば、AI ツールによって発見された報告の増加に直面している可能性があります。少なくとも当社では、受け付ける件数が実質的に 3 倍に増えており、トリアージは非常に難しくなっています。理由が何であれ、今月は対処すべき不具合が数多くあります。あわせて付け加えると、来月には Pwn2Own Berlin が開催される予定であり、こうしたイベントの前にベンダーが可能な限り多くの修正を適用するのはよくあることです。
今回の公開時点で、Microsoft の不具合のうち 1 件は実際に攻撃に悪用されているものとして掲載されており、別の 1 件はすでに公知となっています。それでは今月の更新の中でも特に注目すべきものを詳しく見ていきましょう。まずは、実環境で悪用されているこの脆弱性からです。
CVE-2026-32201 - Microsoft SharePoint Server のスプーフィングの脆弱性
Microsoft はこの不具合について多くの情報を提供していませんが、SharePoint におけるスプーフィングの不具合は、しばしばクロスサイトスクリプティング(XSS)の不具合として現れます。また、攻撃者が情報を閲覧したり、開示された情報に変更を加えたりできる可能性があるとしています。いつものように、これらの攻撃がどの程度広がっているかについての情報は提供されていませんが、この修正のテストと展開を待つべきではありません。特に、インターネットに接続された SharePoint サーバをお使いの場合はなおさらです。
CVE-2026-33825 - Microsoft Defender の特権昇格の脆弱性
この不具合は一般に知られているものとして記載されており、今回はそれがどこで公開されたのかも正確にわかっています。 この不具合がどの程度悪用可能なのかについてはいくつか疑問が出ていますが、現時点では信頼性に多少の問題があるとはいえ、実際の問題であるように見えます。Microsoft とのやり取りに関する研究者のコメントについて、ここで付け加えることはありません。この脆弱性に対する修正が提供されていることを歓迎します。Defender に依存している場合は、これを速やかにテストして展開してください。
CVE-2026-33827 - Windows TCP/IP のリモートコード実行の脆弱性
この脆弱性により、リモートの認証されていない攻撃者が、ユーザの操作なしに影響を受けるシステム上でコードを悪用できるようになります。つまり、少なくとも IPv6 と IPSec が有効なシステムでは、ワーム化可能な不具合だということです。これは競合状態であり、そのため CVSS スケールでは悪用可能性は High とされていますが、Pwn2Own では競合状態が悪用される例をよく見かけるため、それを障害とは考えないでください。IPv6 を運用している場合は、公開エクスプロイトが利用可能になる前に、この修正を速やかにテストして展開することをお勧めします。
CVE-2026-33824 - Windows Internet Key Exchange(IKE)Service Extensions のリモートコード実行の脆弱性
ワーム化可能な不具合といえば、これは今月 2 件目にあたります。タイトルから、IKE が有効なシステムが影響を受けることはわかりますが、それでも攻撃者にとって十分な標的が残されています。Microsoft は、この不具合に対する重要な緩和策についても言及しています。境界で UDP ポート 500 と 4500 をブロックすることで、外部の攻撃者が影響を受けるサービスに到達するのを防ぐことができます。ただし、内部関係者が企業内でのラテラルムーブメントのためにこれを標的にする可能性は残ります。IKE を使用している企業は、この修正を急いでテストし、展開してください。
Microsoft が 2026 年 4 月に公開した CVE の一覧はこちらになります。
その他の脆弱性
緊急に分類された脆弱性
今月のリリースに含まれる、その他の緊急に分類された脆弱性を見ると、Office 関連の脆弱性が 3 件あり、今回もプレビュー ウィンドウが攻撃経路として挙げられています。プレビュー ウィンドウを確実に無効化する方法があればよいのですが、そのような選択肢は見当たりません。RDP クライアントの脆弱性もありますが、これは悪意のある RDP サーバへの接続が必要です。Active Directory の脆弱性は認証が必要で、かつネットワーク隣接の攻撃者が前提となります。最後の緊急の脆弱性は、.NET Framework における興味深いDoS攻撃関連といえます。未認証の攻撃者がネットワーク経由でサービス拒否を引き起こす可能性があり、影響を受ける .NET 製アプリは機能停止に追い込まれると考えられます。緊急に分類されたDoS 攻撃関連の脆弱性はあまり見かけませんが、これはその評価に値します。
リモートコード実行関連
次に、その他のコード実行の脆弱性に移ると、Office コンポーネントには、ファイルを開くだけで乗っ取られるタイプの脆弱性がかなり多くあります。特に Excel が目立ちますが、こちらではプレビュー ウィンドウは攻撃経路ではありません。SQL Server の脆弱性は認証が必要で、通常どおり、この脆弱性に対処するには正しい更新プログラムを適用するための追加手順が必要です。Hyper-V の 2 件の脆弱性は、未承認の攻撃者がローカルでコードを実行できることから、ほとんど権限昇格のようにも読めます。これは Windows Snipping Tool と UPnP Device Host の脆弱性にも同じことが言えます。
特権昇格関連
今回のリリースの半数以上は、特権昇格の脆弱性への対応です。ただし、その多くはローカルの攻撃者が SYSTEM レベルまたは管理者権限でコードを実行できるようになるという内容にとどまっており、脆弱性自体の技術的な詳細がさらにない限り、あまり付け加えることはありません。SQL Server の脆弱性では、攻撃者が SQL の sysadmin 権限を取得できる可能性があります。カーネルの脆弱性の 1 件は、攻撃者が「ローカルで権限を昇格できる」とだけ記載されています。なんとも要領を得ません。これは afd.sys と Desktop Windows Manager の脆弱性でも同様ですが、Microsoft はこれらの脆弱性によって影響を受けるシステムがクラッシュする可能性もあると述べています。Windows Push Notifications、Winsock 向け AFD、Management Services、User Interface Core など、サンドボックス エスケープにつながる脆弱性も複数あります。このうち、CVE-2026-26167(Push Notifications)が最も注目に値します。これは攻撃の複雑性が低い唯一のものであり、レースコンディションを必要としないためです。その他はすべて、レースコンディションに勝つ必要があります(AC:H)。UPnP の脆弱性は、攻撃者が管理者によって保護されたオブジェクトの限定的な集合にアクセスできるようになる点で興味深いものです。完全な権限昇格ではありませんが、本来アクセスできるべきでないリソースにアクセスできてしまいます。Brokering File System の脆弱性では、攻撃者がログオン中のユーザと同じ権限レベルを取得できるため、管理者権限を持つユーザで通常の作業を行わないようにしてください。Azure Monitor Agent の脆弱性は、root レベルのアクセスにつながります。
セキュリティ機能バイパス関連
4月のリリースには、セキュリティ機能のバイパスに関する脆弱性が12件あります。その一部は、タイトルだけでも内容が明らかです。たとえば、Windows Hello の脆弱性は、Hello アプリ自体の安全機能をバイパスします。Biometric Service の脆弱性では、攻撃者が生体認証の保護を回避できます。BitLocker と Secure Boot の脆弱性は、それらのコンポーネントの保護をバイパスします。Power Apps の脆弱性では、攻撃者がセキュリティ警告ダイアログを回避し、標的をだまして外部プロトコル呼び出しを実行させることで、ユーザのデバイス上で意図しない操作を行わせることができます。Windows Shell の脆弱性では、攻撃者が Mark of the Web(MotW)の保護をバイパスできます。PowerShell の脆弱性は、悪用によって動的式のセキュリティチェックが回避され、その結果コード実行につながる可能性があるため、コード実行の脆弱性と表現してもほぼ差し支えありません。Windows Recovery Environment の脆弱性では、ローカルの攻撃者が BitLocker のデバイス暗号化を回避できます。最後に、Virtualization‑Based Security(VBS)の脆弱性は、この中で最も興味深いものです。しかも、それは VBS が(比較的)新しい機能だからというだけではありません。この問題により、侵害された Windows カーネルがセキュア カーネルに属するメモリを変更できるよう攻撃者が操作でき、VBS が本来提供する分離保証が破られます。いわばサンドボックス脱出の一種ですが、今回は Virtual Trust Level 0(VTL0)から Virtual Trust Level 1(VTL1)へ脱出する形です。なかなか興味深い話です。
情報漏洩関連
次に、今月修正された情報漏洩の脆弱性に移ると、20件の異なる CVE があります。幸い、その大半は単に未指定のメモリ内容やメモリアドレスから成る情報漏洩にとどまります。エクスプロイト作成には有用ですが、それ自体が特別に注目を集めるものではありません。また、サンドボックス化された実行環境内に含まれるオブジェクトからアドレスが漏洩する脆弱性もいくつかあります。これには、Print Spooler、Package Catalog、Web Account Manager の脆弱性が含まれます。Dynamics 365 の脆弱性では、例によって実体のつかみにくい「機密情報」が漏洩します。UPnP には3件の異なる情報漏洩の脆弱性があります。2件は攻撃者がファイルシステムを読み取ることを可能にし、3件目では LOCAL SERVICE アカウントがアクセス可能なあらゆる情報が漏洩します。最後の情報漏洩の脆弱性は Copilot と Visual Studio に存在し、Copilot 使用時に Model Context Protocol(MCP)の内容を攻撃者が取得できるようになります。MCP はもう終わったと考える人もいますが(agentic AI エージェントのおかげで)、カスタム MCP を使っているのであれば、それが漏洩してほしいとは思わないでしょう。
なりすまし関連
4月のリリースに含まれるなりすまし(スプーフィング)の脆弱性はほんの数件です。.NET、Active Directory、Windows Shell の脆弱性のように、ネットワーク経由でスプーフィングが可能になるとだけ記載されているものもあります。一方、Windows Snipping Tool の脆弱性のように、同様の説明に加えて NTLMv2 ハッシュのリレーに悪用される可能性があると記載されているものもあります。RDP のパッチの注記では、今月から新しい警告ダイアログが表示される予定であるとされています。Windows Admin Center の脆弱性では、攻撃者が他テナントのアプリケーションやコンテンツに対して操作を行えるようになります。最後に、SharePoint のスプーフィングの脆弱性は、これもまた XSS の問題です。
サービス拒否(DoS攻撃)関連
4月のリリースには DoS攻撃関連 の脆弱性が8件ありますが、いつものとおり、Microsoft はこれらの脆弱性について実行可能な情報を提供していません。Microsoft は http.sys の脆弱性について、パッチのテストと展開を行う間に適用できる緩和策を提示していますが、私は緩和策よりもパッチを優先すべきだと考えます。もう1つの例外は Connected User Experiences and Telemetry Service の脆弱性で、これはネットワーク経由ではなくローカルでサービス拒否を引き起こすことを攻撃者に許します。
4月のリリースにおける最後の脆弱性は、WSUS の改ざんの脆弱性で、内容としては DoS のように読めます。Microsoft によれば、「攻撃者は特別に細工されたパケットを送信することで、サービスの可用性に影響を与え、サービス拒否(DoS攻撃)を引き起こす可能性があります。」とのことです。それでも、これを改ざんと呼ぶことにするようです。
今月は新しいアドバイザリは公開されません。
次回の予定
次回の Patch Tuesday は5月12日で、その際はベルリンにいる予定です。そのときに、今回よりも小規模なリリースになることを願いつつ、所感をあらためて詳しくお伝えします。 それまで、どうぞ安全にお過ごしください。パッチ適用が順調に進み、再起動がすべてスムーズかつ問題なく完了することを願っています。
参考記事
The April 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)