Microsoft 2026-05 月例アップデート:Critical 7 件を含む 120 件の脆弱性に対応

Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days

2026/05/12 BleepingComputer — 2026年5月の Patch Tuesday において、Microsoft は 120 件の脆弱性に対するセキュリティアップデートを公開したが、今回はゼロデイ脆弱性の開示はなかった。今月の Patch Tuesday は、17 件の “Critical” 脆弱性に対応しており、その内訳はリモートコード実行 14 件、権限昇格 2 件、情報漏洩 1 件である。

それぞれの脆弱性カテゴリの件数は、以下の通りである:

61 件:権限昇格の脆弱性
6 件:セキュリティ機能バイパスの脆弱性
31 件:リモートコードの実行脆弱性
14 件:情報漏洩の脆弱性
8 件:サービス拒否 (DoS) の脆弱性
13 件:なりすましの脆弱性

BleepingComputer における Patch Tuesday の報告では、当日に Microsoft が公開したものだけを今月の脆弱性の件数としてカウントしている。

そのため、今月の前半に修正された Mariner/Azure/Copilot/Microsoft Teams/Microsoft Partner Center は含まれない。また、Microsoft Edge/Chromium の 131 件の脆弱性 (今月 Google により修正) も除外されている。

なお、Microsoft Office/Word/Excel の脆弱性一覧は 2026年5月 Patch Tuesday レポートに掲載されている。

今日公開された非セキュリティ更新の詳細については、Windows 11 KB5089549/KB5087420 累積更新と、Windows 10 KB5087544 拡張セキュリティ更新に関する専用記事を参照してほしい。

注目すべき脆弱性

今月の Patch Tuesday にはゼロデイ脆弱性が含まれていないが、IT/Security 管理者が留意すべき複数の深刻な脆弱性が修正されている。

今回の更新では、Microsoft Office/Microsoft Word /Microsoft Excel における多数の脆弱性が修正されており、リモートコード実行につながる可能性がある。

これらの脆弱性は悪意のファイルを開くことで、リモートコード実行を引き起こすものだ。その多くは、プレビュー・ウィンドウ経由でも悪用が可能であるため、添付ファイルを頻繁に受信する環境が危険な状況に置かれる。

今月の注目すべき脆弱性は、以下の通りである:

CVE-2026-35421:Windows GDI のリモートコード実行脆弱性:悪意の Enhanced Metafile (EMF) ファイルを Microsoft Paint で開くことで、悪用される可能性がある。

CVE-2026-40365:Microsoft SharePoint Server のリモートコード実行の脆弱性:認証済み攻撃者による、ネットワーク経由でのコード実行の可能性がある。

CVE-2026-41096:Windows DNS Client のリモートコード実行の脆弱性:攻撃者が制御する DNS サーバから送信される細工されたレスポンスにより、DNS Client における誤処理とメモリ破損が生じ、リモートコード実行に至る恐れがある。

他ベンダーの最新更新

2026年5月には、他ベンダーからも以下の更新が公開された:

  • Adobe: After Effects/Premiere Pro/Media Encoder/Commerce/Illustrator などのセキュリティ更新を公開した。
  • AMD:Zen 2 ベース CPU の op/µop キャッシュにおける権限昇格脆弱性の更新を公開した。
  • Apple:macOS/iOS/watchOS/iPadOS/visionOS/tvOS のセキュリティ更新を公開した。
  • Cisco:複数の製品に対する更新を公開した。復旧に手動での再起動を要する DoS 脆弱性が含まれている。
  • Fortinet:FortiSandbox/ FortiAuthenticator における 2 件の Critical 脆弱性を修正した。
  • Google:Android の 5月セキュリティ更新を公開し、10 件の脆弱性を修正した。
  • Ivanti:ゼロデイ攻撃で悪用された、高深刻度 EPMM リモートコード実行の脆弱性を修正した。
  • Mozilla:Firefox の 5 件の脆弱性に対する更新を公開した。
  • Palo Alto Networks:ゼロデイ攻撃で悪用された PAN-OS User-ID 認証ポータルの深刻な脆弱性について警告し、パッチ未公開ながら緩和策を提示している。
  • SAP:2 件の Critical と、1 件の High の脆弱性を含む更新を公開した。
  • vm2:Critical な脆弱性に対する更新を公開した。

2026年5月 Patch Tuesday セキュリティ更新における、脆弱性の一覧も参照してほしい。

訳者後書:2026年5月の Microsoft Patch Tuesday で修正された、いくつかの深刻な脆弱性について解説する記事です。問題の原因は、 Windows 基盤や Office などの各機能が、画像やネットワーク通信などの外部データを処理する際の、メモリ管理の不備や検証の不足にあります。 今回はゼロデイ脆弱性こそありませんでしたが、 17 件の Critical を含む 120 件が修正されました。 ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例での検索結果も、ご参照ください。