エクスプロイト&脆弱性
2026年5月 セキュリティアップデート解説:Microsoft社は138件、Adobe社は52件の脆弱性に対応
現在、Pwn2Own Berlinの準備のためにベルリンに来ていますが、それでもPatch Tuesdayは予定通りやってきます。今月もまた大規模なリリースです。少なくとも、現時点では実環境で悪用されている脆弱性は報告されていません。
現在、Pwn2Own Berlinの準備のためにベルリンに来ていますが、それでもPatch Tuesdayは予定通りやってきます。今月もまた大規模なリリースです。少なくとも、現時点では実環境で悪用されている脆弱性は報告されていません。通常の業務から少し離れて、AdobeとMicrosoftから今月リリースされた最新のセキュリティパッチを確認していきましょう。なお、技術的な問題により、今月は動画版の公開はありません。
2026年5月Adobe社からのセキュリティアップデート
5月のリリースとして、Adobeは10件のセキュリティ情報を公開し、Adobe Commerce、After Effects、Adobe Connect、Illustrator、Media Encoder、Premiere Pro、Substance 3D Painter、Substance 3D Sampler、Content Authenticity SDK、Adobe Substance 3D Designerにおける52件のCVEに対処しました。今月の概要はこちらの表のとおりです。
今月の最優先課題は、15件の脆弱性を修正し展開優先度が2に設定されているCommerce向けのパッチです。Connectの修正も同様に優先度が高く、対象となる2件のCVEがいずれもCVSS 9点台となっています。それ以外はAdobeとしては比較的典型的な月で、大半の脆弱性はクロスサイトスクリプティング(XSS)か、ファイルを開くだけでコード実行に至るopen-and-ownタイプです。
2026年5月Microsoft社からのセキュリティアップデート
今月Microsoftは、Windowsおよびその関連コンポーネント、Officeおよびその関連コンポーネント、Microsoft Edge(Chromiumベース)、Azure、.NETおよびVisual Studio、Copilot Chat、GitHub Copilot、M365 Copilot、SQL Server、TCP/IP、そしてTelnetクライアントを対象に、なんと138件もの新規CVEを公開しました。そう、Telnetクライアントです。このうち2件はTrendAI ZDIプログラム経由で報告された脆弱性です。30件がCritical(緊急)、3件がModerate(警告)、1件がLow(注意)に分類され、残りはImportant(重要)に評価されています。
この大量の修正は、Microsoft史上最大規模となった先月のリリースに続くもので、業界全体で報告件数が増加している傾向を反映しています。すべての脆弱性がAIによって発見されたわけではありませんが、報告書の作成にAIが使われた程度のものまで含めれば、何らかの形でAIが関与しているケースは多いと考えられます。また、Pwn2Own Berlinが数日後に開催されることも見逃せません。ベンダーがイベント前にできる限り多くの脆弱性を修正するのは、いつものパターンです。
今月Microsoftが修正した脆弱性のうち、リリース時点で公表済みのものや実際に攻撃が観測されているものは1件もありません。その点は安心できる材料です。それでは今月の注目すべきアップデートを詳しく見ていきましょう。まずはDNSに見つかった厄介な脆弱性からです。
CVE-2026-41096 - Windows DNSクライアントのリモートコード実行の脆弱性
このパッチは、悪意のあるDNS応答によって引き起こされるDNSクライアントのヒープベースのバッファオーバーフローを修正します。認証もユーザ操作も不要であり、DNSクライアントは事実上すべてのWindowsマシン上で動作しているため、アタックサーフェスは非常に大きくなります。DNS応答に影響を与えられる立場にいる攻撃者(中間者攻撃や不正なサーバ)であれば、企業内のあらゆる環境で認証なしのリモートコード実行を成立させられる可能性があります。
CVE-2026-41089 - Windows Netlogonのリモートコード実行の脆弱性
このアップデートが対処するのは、もう一つのCVSS 9.8の脆弱性で、スタックベースのバッファオーバーフローによるものです。認証されていないリモートの攻撃者が特別に細工したネットワークリクエストを送信することで、ドメインコントローラ上でコードを実行できてしまいます。認証情報もユーザ操作も不要です。そう、つまりワーム化可能(wormable)な脆弱性です。今月のリリースの中で最も影響が大きく、即座にパッチを適用すべき脆弱性です。ドメインコントローラが侵害されることは、ドメイン全体が侵害されることを意味します。
CVE-2026-42898 - Microsoft Dynamics 365(オンプレミス)のリモートコード実行の脆弱性
この脆弱性はCVSS 9.9(!)と評価されており、Dynamics 365におけるコードインジェクションです。認証済みのユーザであれば誰でも、スコープ変更を伴う形でコードを実行できます。つまり、攻撃が脆弱なコンポーネントの範囲を越え、それ以外のリソースにも影響を及ぼし得るということです。スコープ変更を伴う脆弱性は比較的まれであるため、Dynamics 365のオンプレミス版を運用している場合は、必ず速やかにテストと適用を行ってください。
CVE-2026-40415 - Windows TCP/IPのリモートコード実行の脆弱性
TCP/IPスタックに存在するこの脆弱性は、use-after-free(UAF)に起因するもので、リモートかつ認証なしの攻撃者がユーザ操作を介さずにコードを実行できる可能性があります。つまり、これもワーム化可能な脆弱性です。ただし、こちらは悪用される可能性は大きく下がります。攻撃成立には、対象が継続的に低メモリ(メモリ圧迫)状態にあることが必要で、これは比較的まれな条件です。とはいえ、わざわざリスクを抱える必要もありません。速やかにテストと適用を行ってください。
Microsoft が 2026 年 4 月に公開した CVE の一覧はこちらになります。
その他の脆弱性
緊急に分類された脆弱性
今月リリースされたその他のCriticalランクの脆弱性を見ると、見るからに恐ろしいものが多数含まれており(中にはCVSS 10まで!)、しかしエンドユーザ側で対応すべきことはありません。Microsoftがすでに緩和策を講じており、今回はその内容を文書化したものだからです。今月もOfficeでお馴染みの、プレビューウィンドウが攻撃ベクトルとなる脆弱性が含まれています。ただし、Android版Officeの脆弱性にはプレビューウィンドウ経由のベクトルはなく、ファイルを開くだけで悪用される単純なopen-and-ownタイプです。WiFiドライバの脆弱性は、ネットワーク的に隣接する攻撃者を必要とします。SharePointの脆弱性は認証を必要としますが、サイト権限を持つユーザであれば誰でもその認証要件を満たせます。Jira & Confluence向けSSOプラグインの脆弱性は、認証されていない攻撃者がシステムへのアクセスを獲得できるという内容であり、実態としては認証バイパスと呼ぶべきものです。
リモートコード実行関連
その他のコード実行系の脆弱性を見ると、ほとんどは想定どおりのopen-and-ownタイプです。Dynamics 365(オンプレミス)の脆弱性は高権限を必要とします。Message Queuingの脆弱性は隣接する攻撃者を必要とします。SQL Serverの脆弱性は認証を必要としますが、いつも通りパッチ適用は単純にはいかないでしょう。最後にカーネルにもコード実行に至る脆弱性があります。カーネルの脆弱性の多くは権限昇格ですが、こちらは接続のハンドシェイク処理中に、攻撃者が不正なヘッダ長を含む特別に細工されたNVMe over Fabrics(NVMe-oF)応答メッセージを送信することでコード実行が可能になり得るものです。なかなか興味深いところです。
権限昇格関連
いつものことながら、Microsoftの今月のリリースで修正された脆弱性の大半は権限昇格(EoP)です。これも例によって、ローカルの攻撃者が自身のコードをSYSTEM権限や管理者権限で実行できるという内容がほとんどであり、各脆弱性に関する追加の技術情報がない以上、これ以上付け加えることはあまりありません。中には、攻撃者が「ELEVATED権限を取得できる」とだけ書かれているものもあります。曖昧この上ない表現です。Azureの脆弱性は、攻撃者が本来アクセスできないはずのデータにアクセスできるというものです。Edgeの脆弱性は、攻撃者が実行中のアプリケーションの権限まで昇格できるものです。Visual Studioの脆弱性は、攻撃者がMCPサーバのマネージドIDに紐付く権限を取得できるものです。また、サンドボックスエスケープも数件含まれており、これらは常に重宝するものです。
セキュリティ機能のバイパス
今月のアップデートにはセキュリティ機能のバイパスが6件含まれています。最も深刻なのはAzure SDK for Javaの脆弱性(CVSS 9.1)です。ネットワーク経由の攻撃者が、暗号化されたデータに付与された認証タグによる整合性保護をバイパスし、復号時の整合性チェックをすり抜ける形で暗号化された入力を改ざんできてしまいます。これに続くのが、Visual Studio Code上のGitHub Copilot連携機能に存在するバイパス(CWE-74)です。こちらはユーザ操作を必要としますが、攻撃者が、Copilotによる編集が許可されるファイルを通常制御しているパス検証の防御策を回避できるというものです。もう一つのVisual Studio Codeのバイパスは、悪意のあるノートブックをユーザが開いたり表示したりした際に発生する、クロスサイトスクリプティング、リンクの不適切な解決、情報露出を含むものです。Windowsのネットワーク側では2件のバイパスがあります。1つ目はWindows TCP/IPドライバに影響し、代替チャネルを利用した認証バイパスです。もう1つはWindows Filtering Platformに影響し、不適切なアクセス制御により、ローカルかつ低権限の攻撃者がFQDNベースのネットワークセキュリティルールをバイパスできるものです。最後にSecure Bootのバイパスもあり、これはご想像のとおり、セキュアブート機能をバイパスする内容です。
情報漏洩関連
今月修正された情報漏洩系の脆弱性に話を移すと、CVEは15件あります。いつもどおり、その大半は内容不明のメモリ内容やメモリアドレスが漏洩するというものです。Power Automateの脆弱性は、Power Automate Desktopのフロー内で「Sensitive(機密)」として扱われているデータを露出させる可能性があります。Wordの脆弱性の1つはNLTMハッシュを漏洩させ得るものです。Edgeの脆弱性はクッキーを漏洩させ得るもので、これはなかなか失礼な内容です。Visual Studioの脆弱性はファイルパス情報を露出させる可能性があります。最後にWindows 11向けTelnetの脆弱性は、Telnet利用中に使われていた情報を漏洩させるというものです。Windows 11にまだtelnetクライアントが残っていることに、そもそも気付いてすらいませんでした。
なりすまし関連
5月のリリースには、なりすまし系の脆弱性が10件含まれています(Microsoftが既に対処済みのものに加えて)。Azure Machine Learning Notebooksの脆弱性はユーザ操作を必要としますが、Azure MLのWebインターフェイス経由で攻撃者に情報を露出させ得るものです。Android版のMicrosoftモバイルOffice関連の修正もまとまった数があり、Android版のExcel、Word、PowerPointはいずれも不適切なアクセス制御に起因するなりすまし脆弱性を抱えています。Copilot製品も2件、なりすまし脆弱性の影響を受けています。M365 Copilot for Desktopについては詳細が公開されていません。M365 Copilot for Androidの方は低権限を必要とし、機密性および完全性への影響も限定的です。モバイルアプリのなりすまし脆弱性の最後を飾るのが、Android版Microsoft Teamsです。締めくくりとなるのが3件のEdgeの脆弱性で、いずれもブラウザのUI上で情報を誤って表示させるものです。
改ざん関連
今月のリリースには改ざん系の脆弱性が2件あります。.NET Coreの脆弱性は、攻撃者が影響を受けるシステムにファイルを書き込めるものです。もう1つはiOS版Outlookに存在し、コマンドインジェクションとして現れるものです。
サービス拒否(DoS攻撃)関連
5月のリリースにはDoS系の脆弱性が8件ありますが、いつものことながら、Microsoftはこれらの脆弱性について実用的な情報をほとんど提供していません。実務的な観点で最も興味深いのは、TCP/IPの脆弱性2件で、いずれも低権限のHyper-Vゲストがホストをクラッシュさせられるというものです。どちらも隣接ネットワークから攻撃が成立します。ネットワーク経由でより広く影響を受けるものとしては、ASP.NET Coreの脆弱性が単純な無限ループによるDoSとなっており、認証されていない攻撃者がネットワーク経由で細工したリクエストを送信すると、サーバが応答しなくなります。
今月、新たなアドバイザリの公開はありません。
次回の予定
Pwn2Own Berlinを無事に乗り切れたら、6月9日に戻ってきます。願わくは今月よりも小規模なリリースであってほしいところです。それまでお気をつけて、Happy patching、そしてあらゆる再起動がスムーズかつクリーンに進みますように!
参考記事
The May 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)