2026年5月13日(日本時間)、Microsoftが月例のPatch Tuesdayをリリースしました。今月のセキュリティ更新プログラムは公式集計で120件、Azure系を含む業界集計では130件を超える脆弱性を修正しています。
注目すべきは、約2年ぶりに「悪用が確認されているゼロデイ」がゼロだったという点です。2024年6月以来の珍しい月になりました。ただし「悪用報告なし=後回しでよい」という結論にはなりません。今月は認証不要でリモートコード実行(RCE)が可能なCVSS9.8級の脆弱性が3件含まれており、いずれもネットワーク経由で組織内に広く到達しうるコンポーネントが対象です。
本記事では、Windowsサーバー管理者・情シス・SOC運用者の方に向けて、2026年5月Patch Tuesdayの全体像を整理します。優先すべき高リスクCVEの選び方、製品別の影響範囲、適用前テストから本番展開・事後確認までの実務的な手順、そして即時パッチが難しい環境で使える一時的な緩和策まで、現場で「明日から動ける」レベルでお伝えします。
2026年5月Patch Tuesdayの全体像
まず数字で全体感を掴みます。情報源によって件数の集計範囲が異なるため、複数の数字が出回っていますが、骨格はおおむね一致しています。
件数と重大度の内訳
Microsoft公式集計(MSRC)ベースでは120件、これにAzure系の別CVE採番分を合算した業界集計では130~138件です。本記事は実務影響の大きいWindows・Office・Dynamics 365を中心に扱うため、以下120件ベースで進めます。
・総CVE件数(公式): 120件
・Critical(公式): 17件(うちRCE 14件・権限昇格 2件・情報漏洩 1件)
・Important: 約100件
・ゼロデイ(悪用確認済み): 0件
・公開済み(PoC流通あり): 0件
Critical 17件の内訳に注目してください。3分の2以上がRCEです。RCEは攻撃者が任意のコードを実行できる脆弱性で、防御の優先度は最も高くなります。
カテゴリ別の件数
業界アナリスト(Trend Micro Zero Day Initiative、CrowdStrike等)による分類で見ると、件数構成は次のとおりです。
・権限昇格(EoP): 約50件(全体の40%超)
・リモートコード実行(RCE): 約20~30件
・情報漏洩: 約15件
・サービス拒否(DoS): 約8件
・スプーフィング: 約10件
・セキュリティ機能バイパス: 約6件
権限昇格の比率が高いのは近年の傾向です。初期侵入後に管理者権限を奪う中継地点として狙われやすいため、Criticalランクでなくても放置はできません。
「ゼロデイなし」をどう受け止めるか
ゼロデイが含まれない月は、パッチ適用の心理的緊急度は確かに下がります。ただし、見落としやすい点が3つあります。
1つ目は、PoC(実証コード)公開のタイミングです。Patch Tuesday公開から数日でリバースエンジニアリングが行われ、PoCが研究者ブログやGitHubに出回ることがあります。「今は悪用されていない」ことと「来週も悪用されない」は別物です。
2つ目は、wormable(自己拡散可能)に分類された脆弱性の存在です。後述するNetlogonのRCE(CVE-2026-41089)は、まさにこのカテゴリに該当します。一度組織内のいずれかの端末に到達すれば、追加の権限なしに横展開しうる構造です。
3つ目は、認証不要・ユーザー操作不要で発火するDNS ClientのRCE(CVE-2026-41096)です。境界突破後の内部展開フェーズだけでなく、悪意あるDNS応答を返せる位置にいる攻撃者なら最初の足がかりにも使えます。
つまり今月は、ゼロデイがない代わりに「これからゼロデイになりうる」素材が複数含まれている月、と整理するのが現場の感覚に合います。
今月優先すべき高リスクCVE(CVSS9.8以上の3件)
今月の3件は、いずれもCVSS9.8以上で、認証要件と影響範囲の組み合わせから「最優先」に位置付けられています。1件ずつ確認します。
CVE-2026-41089: Windows Netlogon RCE(CVSS 9.8、wormable)
Netlogonはドメインに参加したWindows端末がドメインコントローラー(DC)と認証情報をやりとりするためのサービスです。Active Directory環境の中核にあたります。
この脆弱性は、Netlogonサービスのスタックベースバッファオーバーフローを悪用し、認証なしでDCに対してRCEを成立させうるものです。複数のセキュリティベンダー(Trend Micro ZDI、CrowdStrike)がwormable(自己拡散可能)に分類しています。
過去のZerologon(CVE-2020-1472)が記憶にある方は、近い構造の脆弱性と捉えるとイメージしやすいです。違いは、Zerologonは認証バイパスだったのに対し、今回はRCEに直結する点です。組織のActive Directoryを持つ環境では、優先度の最上位に置いてください。
CVE-2026-41096: Windows DNS Client RCE(CVSS 9.8)
DNS Client(クライアント側の名前解決機能)のヒープバッファオーバーフローです。悪意あるDNS応答を受信した時点で、認証もユーザー操作も不要でRCEが成立する可能性があります。
DNS Clientは事実上すべてのWindows端末・Windows Serverが内部で動かしているコンポーネントです。サーバーだけでなくクライアントPCの脆弱性でもあるため、影響範囲は事実上Windowsフリート全体に及びます。
リモートワーク端末で、公衆Wi-Fi経由や信頼できないネットワーク経由で名前解決を行う状況がある組織は、特に優先度を上げる根拠になります。
CVE-2026-42898: Microsoft Dynamics 365 (On-Premises) RCE(CVSS 9.9)
Dynamics 365のオンプレミス版で発見されたコードインジェクション系のRCEです。CVSSは今月最高クラスの9.9です。
ただし、上記2件と比べて影響範囲は限定されます。Dynamics 365のオンプレミス版を運用している組織でのみ問題になります。SaaS版(Microsoft Cloud上のDynamics 365 Online)を利用している場合は、Microsoft側でパッチが適用済みです。
「自社にDynamics 365のオンプレ環境があるかどうか」をまず確認し、該当する場合は最優先、該当しない場合はリスト管理のみで構いません。
優先度マトリクス(今月の3件+補足CVE)
| CVE番号 | CVSS | 対象 | 認証 | 悪用報告 | 適用優先度 |
|---|---|---|---|---|---|
| CVE-2026-41089 | 9.8 | Windows Netlogon(DC) | 不要 | なし(wormable分類) | 最優先(即時) |
| CVE-2026-41096 | 9.8 | Windows DNS Client(全端末) | 不要 | なし | 最優先(即時) |
| CVE-2026-42898 | 9.9 | Dynamics 365 (On-Prem) | 必要 | なし | 該当環境のみ最優先 |
| CVE-2026-42826 | 10.0 | Azure DevOps | 該当ロール | なし | Azure側で対応済み(要確認) |
| CVE-2026-40402 | 9.3 | Windows Hyper-V | ゲスト側必要 | なし | 仮想化基盤で優先 |
| Office RCE複数 | 7~8台 | Word/Excel等 | ユーザー操作 | なし | 標準サイクルで適用 |
優先度は「CVSS×認証要件×影響範囲」の3軸で考えます。CVSSが高くてもDynamics 365のように該当環境が限定的なものは、自社該当の有無で優先度が変わる点に注意してください。
PR
Windowsセキュリティインターナル PowerShellで理解するWindowsの認証、認可、監査の仕組み(James Forshaw 著)
Netlogon・DNS Client・ドメイン認証など、今月のCriticalパッチが関係する領域の内部動作を体系的に学べる定番書。Patch Tuesdayの影響範囲を「なんとなく」ではなく仕組みから理解したい情シス・SOC担当者におすすめです。
製品別の影響範囲
「自社のどの資産が今月のパッチ対象か」を把握するために、製品別に影響範囲を整理します。
Windows Server(最優先)
特にドメインコントローラーは、Netlogon RCE(CVE-2026-41089)の直接的な対象です。Active Directoryを運用しているすべての組織で、DCのパッチ適用は今月最重要のタスクです。
Hyper-Vホストを運用している場合は、CVE-2026-40402(CVSS 9.3、ゲスト→ホスト権限昇格の可能性)も合わせて評価してください。
Windows 10/11クライアント(全社規模で影響)
DNS Client RCE(CVE-2026-41096)は、すべてのWindows端末が対象です。リモートワーク端末・支店端末・本社端末を問わず、漏れなく適用する計画が必要です。
加えて、Office製品(Word、Excel、Outlook等)のRCE脆弱性も複数修正されています。CVSSは7~8台と最優先ではないものの、メール添付による初期侵入の典型経路なので、月例適用サイクルから外さないでください。
Dynamics 365(該当環境のみ)
オンプレミス版(On-Premises)を運用している場合のみ最優先で適用します。SaaS版は対応不要です。
Azure系サービス(運用形態で判断)
CVE-2026-42826(Azure DevOps)、CVE-2026-33109(Azure Cassandra)はAzure側の脆弱性です。マネージドサービスとして利用している場合、原則Microsoft側でパッチが適用されているはずですが、自社で構成しているコンポーネント(セルフホストエージェント等)がある場合は別途確認が必要です。
優先度判定の考え方(CVSSだけで決めない)
CVSSスコアは強力な指標ですが、それだけで優先度を決めると現場感覚とズレることがあります。今月の3件を例に、判定軸を整理します。
判定軸1: 認証要件と攻撃ベクトル
CVE-2026-41089(Netlogon)とCVE-2026-41096(DNS Client)は、いずれも認証不要・ユーザー操作不要でリモートから発火します。これは攻撃のハードルが最低クラスであることを意味します。CVSSが同じ9.8でも、認証必要のものとは現場リスクが大きく違います。
判定軸2: 影響範囲(資産の数)
DNS Clientは全Windows端末、NetlogonはDCに限定されます。影響台数は前者の方が圧倒的に多い一方、後者は「落ちると業務全停止」の中核資産です。「数」と「重み」の両方で評価します。
判定軸3: wormable分類の有無
wormable(自己拡散可能)と分類された脆弱性は、感染後の横展開が早く、初動対応が遅れると組織内全域に波及する可能性があります。今月はCVE-2026-41089が該当します。
判定軸4: 悪用報告の有無と将来予測
今月は悪用報告ゼロですが、CVSS9.8級のRCEはPoCが流通するまでが速いケースが多いです。Patch Tuesday公開からPoC公開までの平均的なタイムラインは、過去事例で7~14日です。今月の3件は、来月の段階で「悪用が始まっている」前提で計画を組むのが安全です。
適用手順: テスト→本番→事後確認
パッチを当てる前にやるべきこと、本番展開時の進め方、適用後の確認を順に整理します。中小企業の情シス1人体制でも回せる粒度にしています。
1. 適用前テスト(必須)
過去のPatch Tuesdayでは、月によっては適用後に互換性問題(Active Directoryの認証エラー、印刷不具合、特定アプリの起動失敗など)が報告されています。本番一斉適用の前に、必ずテストリングを通してください。
・テスト対象: 開発・検証環境のサーバー1台、業務端末1~2台
・確認項目: 起動、ログイン、業務アプリ動作、ネットワーク疎通(特にDNS解決)、ドメイン認証
・所要期間目安: 24~48時間(実利用での問題顕在化を待つ)
業務アプリのベンダーが「今月のパッチで動作確認済み」アナウンスを出すことがあります。基幹系アプリを使っている組織は、ベンダーサポートサイトを必ずチェックしてください。
2. 本番展開(リング展開推奨)
テストで問題が出なければ、本番展開はいきなり全社一斉ではなく、リング(段階)展開が安全です。
・リング1(パイロット): 情シス自身のPCと協力的な部署10~30%、適用後24時間観察
・リング2(一般展開): 残り70%、業務時間外または週末に実施
・リング3(保留資産): ミッションクリティカルなサーバー、業務影響を慎重に見極めて適用
WSUS、Microsoft Intune、Group Policyのいずれを使うかは組織の規模次第ですが、いずれの方式でも「展開前に対象資産リストの整合性を確認する」工程は省かないでください。
3. 適用後の事後確認
パッチを当てて終わりではありません。必ず適用結果を確認します。
・パッチ適用状況: WSUSレポートまたはIntuneコンプライアンスレポートで100%適用を確認
・サービス稼働: DCのNetlogonサービス、クライアントのDNS解決動作
・イベントログ: 適用後24時間のイベントログでエラー・警告の急増がないか確認
・業務影響: 業務報告経路(ヘルプデスク等)で、適用日以降のトラブル増加がないか観察
「適用しました」で報告を終えず、「適用後72時間まで観察した結果、業務影響なし」まで含めて経営層に報告するのが、今後の予算交渉でも効いてきます。
すぐに適用できない環境の一時的緩和策
業務影響の懸念や検証期間の関係で、即時パッチが難しい環境もあります。その場合、ゼロリスクは無理でも、攻撃成功確率を下げる緩和策はいくつかあります。あくまでパッチ適用までの「時間稼ぎ」と理解してください。
Netlogon(CVE-2026-41089)対策
・境界の見直し: ドメインコントローラーへの不要な通信経路を遮断する。社内ネットワークでDCへ直接アクセスできるセグメントを最小化する
・監視強化: DCに対する異常なNetlogon RPC通信パターンの監視ルールを追加する(SIEMで対応)
・EDR導入の確認: DC上でEDRが稼働していること、検知ポリシーが最新であることを確認する
DNS Client(CVE-2026-41096)対策
・信頼できるDNSサーバーの強制: 社内DNSサーバーまたは信頼できる外部DNS(Cloudflare 1.1.1.1、Google 8.8.8.8等)以外への問い合わせをファイアウォールで遮断する
・DNS over HTTPS(DoH)の利用検討: 中間者攻撃による悪意あるDNS応答の挿入を防ぐ
・公衆Wi-Fi利用ポリシー: リモートワーク端末で公衆Wi-Fiを使う場合はVPN必須にする
Dynamics 365 (On-Premises)(CVE-2026-42898)対策
・アクセス制限: Dynamics 365管理コンソールへのアクセス元IPを業務必要範囲に絞る
・多要素認証(MFA)の強制: 認証必要の脆弱性なので、認証突破のハードルを上げる
・SaaS版への移行検討: 中長期的にはSaaS版に移行することで、パッチ運用負担そのものをMicrosoftに委譲できる
繰り返しになりますが、これらは時間稼ぎです。緩和策があるからといってパッチを後回しにする理由にはなりません。あくまで「業務影響の検証中に攻撃成功確率を下げる」ためのものです。
今月の対応チェックリスト(情シス1人体制向け)
ここまでの内容を、明日から動けるチェックリストにまとめます。コピーしてそのまま使ってください。
当日~24時間以内
・今月のPatch Tuesday概要を確認: 公式リリースノートとMSRC Security Update Guideに目を通す
・自社該当資産の特定: Active Directoryの有無、Windowsクライアント台数、Dynamics 365 オンプレ版の有無、Hyper-Vの利用
・テスト環境の準備: 検証用VMまたは予備機にパッチを適用
・業務アプリベンダーの動作確認情報をチェック: 基幹系・会計系の各ベンダーサポートページ
3日以内
・テスト結果の評価: 起動、ログイン、業務アプリ動作の確認
・本番展開計画の作成: リング1~3の対象資産リスト、展開時間帯、ロールバック手順
・緩和策の暫定適用: 即時パッチが難しい資産に対する一時的な防御策
7日以内
・パイロット展開(リング1): 情シス自身のPCと10~30%の協力部署
・24時間観察: エラー・警告・ヘルプデスク問い合わせの変化を記録
14日以内
・一般展開(リング2): 残り70%の資産にパッチを適用
・適用結果の確認: WSUS/Intuneレポートで100%適用を確認
・経営層への報告: 適用状況と業務影響の有無を文書化
30日以内
・保留資産の処理: ミッションクリティカル資産の慎重な適用
・緩和策の解除: パッチ適用済みの資産に対する暫定緩和策を順次解除
・次月Patch Tuesday準備: 6月のリリース予定日(6月9日想定)に向けて準備
よくある質問(FAQ)
Q1. 「ゼロデイなし」の月は、Patch Tuesdayの優先度を下げてもいい?
A. 下げない方が安全です。今月の3件のCVSS9.8級RCEは、wormable分類や認証不要での発火条件を満たしており、PoC公開後に状況が一変する可能性があります。「悪用報告なし」は「今は」というスナップショットに過ぎません。
Q2. WSUSを使わずに、Windows Updateの自動更新だけで運用しています。問題ありますか?
A. 規模が小さい組織(端末20台以下)なら現実的な選択肢です。ただし、「すべての端末で適用が完了したか」を可視化する仕組みは別途必要です。Microsoft Intuneの無償枠やPDQ Deploy等の中小規模向けツールも検討材料になります。
Q3. テスト環境がありません。本番でいきなり当てるしかない場合の最低限の対策は?
A. 「全社一斉ではなく段階展開する」「業務時間外に当てる」「適用前にバックアップ(少なくともシステム状態のスナップショット)を取る」の3点を守ってください。テスト環境を作る予算交渉は、今月のCriticalパッチが多い状況を材料にすると通りやすくなります。
Q4. CVE-2026-41089(Netlogon)と過去のZerologon(CVE-2020-1472)はどう違う?
A. Zerologonは「認証バイパス」によって攻撃者が管理者権限を取得する脆弱性でした。今回のCVE-2026-41089は「認証不要のRCE」で、より直接的に任意コード実行が可能です。影響レベルは今回の方が直接的と評価されています。
Q5. Linux系サーバーには影響がありますか?
A. 今回のCVEはWindows/Microsoft製品が対象です。ただし、Linuxサーバー側でWindows端末向けのDNSサービス(BIND等)を運用している場合、DNS応答の信頼性確保は引き続き重要です。LinuxサーバーのDNSハードニングについては、姉妹サイトのLinuxMaster.JPで関連解説を公開しています。
Q6. クラウド(Azure)の利用範囲が広い場合は?
A. マネージドサービス(Azure SQL、Azure App Service等)はMicrosoft側でパッチが適用されます。一方、IaaS(Azure VM)上のWindowsはオンプレと同じく自社でパッチを当てる必要があります。クラウドだから安心ということはありません。クラウドの責任共有モデルの基礎については、姉妹サイトのCloudMaster.JPでも解説しています。
Q7. パッチ適用後に業務アプリが起動しなくなりました。どうすればいい?
A. まず原因を切り分けます。Windows Updateの履歴から該当パッチを特定し、コントロールパネル>プログラムと機能>インストールされた更新プログラム、から該当パッチをアンインストールできます。ただし、アンインストール後は脆弱性が再露出するため、業務アプリベンダーへの問い合わせと並行して、緩和策を一時的に適用してください。
Q8. 来月のPatch Tuesdayはいつ?
A. Microsoftの月例セキュリティ更新は、原則として毎月第2火曜日(米国時間)にリリースされます。2026年6月は6月9日(米国時間)、日本時間では6月10日(水)にリリースされる見込みです。
本記事のまとめ
2026年5月Patch Tuesdayは、約2年ぶりに「悪用が確認されているゼロデイ」がゼロの月になりました。ただし、認証不要・ユーザー操作不要でRCEが成立するCVSS9.8級の脆弱性が3件含まれており、適用優先度は決して下げられない月です。
優先順位は次のとおりです。Active Directoryを運用している組織はNetlogon RCE(CVE-2026-41089)を最優先で、全Windows資産を持つ組織はDNS Client RCE(CVE-2026-41096)を最優先で、Dynamics 365オンプレを運用している組織は該当製品のRCE(CVE-2026-42898)を最優先で、それぞれ24~48時間以内のテストと7~14日以内の本番展開を目標にしてください。
ゼロデイがない月でも、「これからゼロデイになりうる素材」が複数積み残されているのが今月の実像です。PoC公開を待たず、Microsoft公式のCriticalランクと自社の資産特性を組み合わせて、淡々と適用を進めることが、結局のところ一番のリスク低減になります。
セキュリティ運用は、派手な事件のときよりも、こうした地味な月例運用の積み重ねで強くなります。今月の対応も、来月の準備も、半年後の振り返りも、すべて同じ仕事の一部です。
あわせて読みたい本
PR
Windowsセキュリティインターナル PowerShellで理解するWindowsの認証、認可、監査の仕組み(James Forshaw 著)
Active Directory・Netlogon・トークン・ACLなどWindowsセキュリティの内部構造を、PowerShellで実際に確認しながら学べる一冊。月例パッチの「なぜ重要か」を仕組みから腹落ちさせたい方に。
PR
サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス(松原実穂子 著)
国際的な脅威動向と、組織として人材・戦略をどう組み立てるかを俯瞰できる一冊。パッチ管理の現場運用を「経営に伝わる言葉」に翻訳するヒントになります。
毎月のPatch Tuesday運用、属人化していませんか?
情シス1人体制でも回せるパッチ管理ワークフロー、緩和策の選び方、経営層への説明テンプレートを、メルマガで定期的にお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
