Microsoft 2026-04 月例アップデート:2 件のゼロデイを含む 167 件の脆弱性に対応

Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days

2026/04/14 BleepingComputer — 今日は 2026年4月の Microsoft Patch Tuesday であり、2件のゼロデイ脆弱性を含む167件の脆弱性に対するセキュリティ・アップデートが公開された。今回の Patch Tuesday では、Critical に分類される脆弱性が 8 件含まれており、そのうちの 7 件はリモートコード実行脆弱性、残りの 1 件はサービス拒否脆弱性である。

各脆弱性カテゴリごとの件数は、以下の通りである。

  • 93件:特権昇格脆弱性
  • 13件:セキュリティ機能バイパス脆弱性
  • 20件:リモートコード実行脆弱性
  • 21件:情報漏えい脆弱性
  • 10件:サービス拒否脆弱性
  • 9件:なりすまし脆弱性

BleepingComputer による Patch Tuesday レポートでは、当日に Microsoft が公開したものだけをカウントしている。そのため、今月初めに修正された Mariner/Azure/Bing の脆弱性は含まれていない。また Google により修正された Microsoft Edge/Chromium の80件の脆弱性も含まれていない。

本日公開された非セキュリティ・アップデートについては、Windows 11 KB5083769/KB5082052 累積アップデートと、 Windows 10 KB5082200 拡張セキュリティ・アップデートに関する専用記事を参照してほしい。

2 件のゼロデイおよび Microsoft Office の脆弱性

今月の Patch Tuesday では、2 件のゼロデイ脆弱性が修正されているが、1 件は公開済みであり、もう 1 件は実際の攻撃で悪用されているものだ。

Microsoft のゼロデイ脆弱性の定義は、公式修正が存在しない状態で公開されたもの、または、実際に悪用されているものである。

CVE-2026-32201:SharePoint Server のなりすましの脆弱性

攻撃で悪用されていた Microsoft SharePoint Server のなりすまし脆弱性が修正された。

同社は、「Microsoft Office SharePoint における不適切な入力検証により、未認証の攻撃者に対して、ネットワーク経由でのなりすましを許す可能性がある。この脆弱性の悪用に成功した攻撃者は、一部の機密情報の閲覧と改竄を可能にするが、リソースへのアクセス制御 (可用性) には影響しない」と説明している。

Microsoft は、この脆弱性の具体的な攻撃手法や発見者については公開していない。

CVE-2026-33825:Defender の特権昇格の脆弱性

SYSTEM 権限の取得を許す、Microsoft Defender の特権昇格の脆弱性が修正された。

この問題は、Microsoft Defender Antimalware Platform バージョン 4.18.26050.3011 において修正されており、システムへ自動配信される。

Windows ユーザーは、Windows Security > Virus & threat protection > Protection Updates から “Check for updates” を選択することで手動でのインストールも可能である。この脆弱性は Zen Dodd および Yuanpei XU(HUST )/Diffract により発見された。

さらに Microsoft は、Office (Word/Excel) における複数のリモートコード実行脆弱性も修正している。これらは、プレビュー・ウィンドウや悪意のドキュメントの開封により悪用される可能性がある。そのため、特に添付ファイルを頻繁に受信するユーザーは、Microsoft Office の更新を優先すべきである。

他ベンダーによる最近のアップデート

2026年4月には他のベンダーからも複数のアップデートやアドバイザリが公開されている。

  • Adobe:複数の製品向けのセキュリティ・アップデートを公開し、実際に悪用されていた Reader/Acrobat のゼロデイも修正した。
  • Apache:13年間にわたり未検出だった、Apache ActiveMQ Classic のリモートコード実行の脆弱性を修正した。
  • Apple:iOS 18 を実行する iPhone に対し、DarkSword exploit kit に対抗するセキュリティアップデート配信を拡張した。
  • Cisco :複数の製品向けのアップデートを公開し、管理者権限の取得を攻撃者に許す、Integrated Management Controller (IMC) の認証バイパスを修正した。
  • Fortinet:複数の製品向けのアップデートを公開し、攻撃で悪用されている FortiClient Enterprise Management Server (EMS) の深刻な脆弱性 CVE-2026-35616 を修正した。
  • Google:Android の 2026年4月セキュリティ・ブリテンを公開し、攻撃で悪用されていた Chrome のゼロデイを修正した。
  • GPUBreach:rowhammer 攻撃により、特権昇格および完全なシステム侵害を許す可能性がある。
  • Marimo:現在攻撃で悪用されている事前認証 RCE 脆弱性に対するセキュリティ・アップデートを公開した。
  • SAP:複数の製品向けに、2026年4月セキュリティ・アップデートを公開し、SAP Business Planning and Consolidation および SAP Business Warehouse における重大な SQL Injection 脆弱性を修正した。
  • wolfSSL:SSL/TLS ライブラリにおける、偽造証明書を受け入れさせる可能性のある脆弱性を修正するアップデートを公開した。

2026年4月 Microsoft Patch Tuesday における、それぞれの脆弱性の詳細な説明および、影響を受けるシステムについては、完全なレポートで参照できる。

訳者後書:今回の Patch Tuesday では、Microsoft 製品の多岐にわたるプログラムにおいて、データの入力検証や権限管理の不備などが修正されました。特に SharePoint Server で見つかった CVE-2026-32201 は、不適切な入力チェックを突くなりすまし攻撃に悪用されており、機密情報が盗み見られるリスクが生じていました。また、Windows Defender の CVE-2026-33825 では、本来は制限されているはずの SYSTEM 権限を不正に取得できてしまう設計上の不備が修正されています。よろしければ、Microsoft + 月例での検索結果も、ご参照ください。