Microsoftは2026年4月14日(現地時間)、4月のPatch Tuesdayとして大規模なセキュリティアップデートを公開しました。集計方法により件数に差がありますが、いずれの見方でも2025年10月以来の非常に大規模な更新で、ZDI(Zero Day Initiative)はMicrosoftの月例リリースとして史上2番目の規模と評価しています。SharePoint Serverのゼロデイ脆弱性CVE-2026-32201が悪用観測ありとして含まれており、CISAは公開当日に同CVEをKnown Exploited Vulnerabilities(KEV)カタログへ追加し、米連邦行政機関(FCEB機関)に対して2026年4月28日までの修正を義務付けました。あわせてMicrosoft Defenderの権限昇格脆弱性CVE-2026-33825や、Windows IKE Service ExtensionsのCVSS 9.8 Critical RCE(CVE-2026-33824)など、早期評価が必要な高リスク脆弱性が並びます。中にはワーム化懸念が指摘されるものもあります。本稿ではJPCERT/CC注意喚起、Microsoft MSRC、Rapid7、Tenable、ZDI、Krebs On Securityなどの一次・二次ソースを横断し、運用現場が今月優先すべきパッチを整理します。
全体の規模と内訳
| 項目 | 内容 |
|---|---|
| Microsoft公式リリース日 | 2026年4月14日(米国時間、Patch Tuesday) |
| JPCERT/CC注意喚起 | JPCERT-AT-2026-0010(2026年4月15日公開、日本語による国内向け注意喚起) |
| 修正されたCVE件数 | 集計方法により出典間で差があります。ZDIは「Microsoftが新規にリリースしたCVEは163件」と公表しており、Tenableも同じ163件で集計しています(非Microsoft由来のCVE 2件を除外する集計方針)。BleepingComputerおよびKrebs On Securityは非Microsoft由来も含めて167件と報じています。The Hacker Newsは非Microsoft由来CVE 4件(AMD CVE-2023-20585、Node.js CVE-2026-21637、Windows Secure Boot CVE-2026-25250、Git for Windows CVE-2026-32631)を含めて169件と集計しています。本稿では、Microsoft自身が今月新規発行した分として163件を基準値とし、再ホスト分を含む合計を167件として扱います |
| 過去のリリースとの比較 | ZDIは「これはMicrosoftの月例リリースとしては史上2番目の規模」とコメントしており、Tenable Satnam Narang氏も「2025年10月以来の大型回」と評価しています。Tenable集計では2025年10月の167件に次ぐ規模、BleepingComputer/Krebs集計では同月の167件に並ぶ規模となります |
| 深刻度内訳 | Critical: 8件、Important: 154件、Moderate: 1件(Tenable集計) |
| カテゴリ内訳 | 権限昇格(EoP): 57.1%、情報漏洩: 12.3%、リモートコード実行(RCE): 12.3%(Tenable集計)。Critical 8件のうち7件がRCE、1件がDoS(CVE-2026-23666 .NET Framework) |
| ゼロデイ件数 | 2件。CVE-2026-32201(SharePoint、悪用観測あり)、CVE-2026-33825(Microsoft Defender、公開済みだが悪用未観測) |
ZDI(Zero Day Initiative)はこの規模について「これは月次リリースとしてはMicrosoftの歴史上2番目に大きい。理由について推測する余地はあるが、おそらく我々のような他のプログラム同様、AIツールによる発見の急増を見ているのだろう。我々の場合、受信レートは事実上3倍になり、トリアージは挑戦的というほかない」とコメントしています。AI支援による脆弱性発見の急増という構造的要因は、当ブログでも継続的に取り上げているテーマです。
最優先:CVE-2026-32201 — SharePoint Server悪用観測ゼロデイ
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-32201 |
| 影響製品 | Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Server 2019、Microsoft SharePoint Server Subscription Edition |
| 脆弱性の種別 | Microsoft SharePoint Server Spoofing Vulnerability(CWE-20: Improper Input Validation、不適切な入力検証)。XSSにつながる可能性ありとTenableは指摘しています |
| CVSSスコア | Microsoft(CNA)付与のCVSS v3.1 6.5(ベクター:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)。攻撃元はネットワーク、攻撃難度は低、認証不要、ユーザー操作不要、機密性・完全性に低影響、可用性に影響なし。MicrosoftのSeverity評価は「Important」 |
| 悪用状況 | Microsoftは「Exploitation Detected」(悪用観測あり)と明示。発見元・悪用範囲・攻撃者属性については未公開です |
| CISA KEV登録 | 2026年4月14日にKEVカタログへ追加。Due Date(米連邦行政機関 FCEB機関の修正期限)は2026年4月28日。CISA Binding Operational Directive 22-01は、Federal Civilian Executive Branch(FCEB)機関に対する修正義務を定めており、その他の組織には強く推奨される位置づけです |
CVSSスコアは6.5(Medium)と一見控えめですが、このスコアの「低さ」を運用判断の材料にするのは危険です。理由は3つあります。
第一に、認証もユーザー操作も不要という攻撃前提(PR:N、UI:N)です。SharePoint Serverがインターネット側から到達可能であれば、攻撃者は何の足掛かりもなく直接スプーフィング攻撃を仕掛けられます。Automox Mat Lee氏は「外部脅威はインターネット側のSharePointインスタンスを直接標的にできる。インターネット公開されたオンプレSharePointサーバーが最も高いリスクを抱える」と指摘しています。
第二に、CISA KEV登録という事実そのものです。Microsoft自身が悪用を確認しており、CISAも独立に検証して米国連邦機関に対する2週間以内の修正期限を設定しました。CVSSスコアが何であれ、「現に攻撃に使われている脆弱性」というステータスが変わるわけではありません。
第三に、外部分析では、SharePointがバックエンドストレージ、ディレクトリサービス、内部協業ツールと広く連携している点が重視されています。AutomoxやComputer Weeklyが紹介する見解では、悪用がSharePointページ上のスクリプト実行やフィッシング誘導に発展した場合、セッションCookieや認証トークンの窃取、フィッシングリダイレクト、追加ペイロード(ランサムウェア等)の配信踏み台といった後続侵害の足掛かりになり得ると指摘されています。
Lee氏が推奨する検出観点としては、外部公開SharePointページでの予期しないスクリプト実行やiframeインジェクション、未知のIPからのセッショントークン再利用や予期しない認証イベント、ユーザーからの「SharePointページで予期しないリダイレクトやログインプロンプトが出る」といった報告などが挙げられています。
なおSharePoint Server 2016とSharePoint Server 2019はいずれも2026年7月14日に延長サポートを終了する予定です。現行のパッチ提供対象には含まれていますが、サポート終了後は同種のゼロデイが出ても修正パッチが出ない可能性が高いため、移行計画と組み合わせた優先度判断が求められます。
次点優先:CVE-2026-33825 — Defender EoP、公開済みPoC「BlueHammer」との一致が指摘
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-33825 |
| 影響製品 | Microsoft Defender Antimalware Platform |
| 脆弱性の種別 | Elevation of Privilege(権限昇格)。Defenderのアクセス制御の粒度が不十分なことに起因し、低権限の認証済みローカル攻撃者がSYSTEM権限へ昇格可能 |
| CVSSスコア | CVSS v3.1 7.8(CVSS基準ではHigh)。なお、MicrosoftのSeverity評価は独自分類で「Important」 |
| 悪用状況 | 本Patch Tuesday時点で野生での悪用は確認されていません。Tenableによれば、Microsoftの記述は2026年4月3日にGitHubで公開されたゼロデイPoC「BlueHammer」と一致する可能性があります。PoC公開者は「Chaotic Eclipse」を名乗り、Microsoftの開示対応への不満を表明していました。Microsoftは「Exploitation More Likely」(悪用される可能性が高い)と評価 |
| パッチ適用方法 | Microsoft Defender Antimalware Platformのバージョン4.18.26050.3011以降に自動更新されるため、ユーザー操作は不要。Defenderを無効化している環境は影響を受けません |
Tenableは「MicrosoftのアドバイザリにはPoC公開への言及はないが、CVEの記述はBlueHammerと『一致するように見える』」と慎重な表現で報告しており、CVE-2026-33825がBlueHammerと厳密に同一の脆弱性なのか、近接する別個の発見なのかは確定していません。Microsoftはアドバイザリの謝辞でZen Dodd氏とHUST/DiffractのYuanpei Xu氏をクレジットしており、これはPoCを公開したChaotic Eclipse氏とは別人物のようです。両者の関係についてはMicrosoftからの追加説明はありません。
いずれにせよ、Krebs On Securityが引用するTharrosのWill Dormann氏は「今日のパッチを適用後、公開されているBlueHammerエクスプロイトコードはもはや動作しないことを確認した」と述べており、現行パッチは公開PoCに対しても有効と判断できます。
SYSTEM権限昇格を許す脆弱性は、すでに足がかりを得ている攻撃者に対して特に危険です。当ブログで取り上げてきた他のゼロデイとの連鎖攻撃シナリオも警戒する必要があります。
注目のCritical RCE — IKE、TCP/IP、Active Directory
悪用は未観測ですが、Critical 8件のうち実務的に特に注目すべき3件をピックアップします。
CVE-2026-33824:Windows IKE Service Extensions RCE(CVSS 9.8)
Critical 8件中で最も高いCVSSスコアを持ちます。Windows Internet Key Exchange(IKE)Service Extensionsの脆弱性で、IKE version 2が有効な対象に細工パケットを送信することで、認証なしのリモートコード実行が可能になります。
Rapid7のAdam Barnett氏は「現代のWindowsアセットに対する認証なしRCEに繋がる脆弱性は比較的稀である。そうでなければ、もっと多くのwormableな脆弱性がインターネットを横断して自己増殖していたはずだ。しかし、IKEはVPNなどのために安全なトンネル交渉サービスを提供するため、必然的に信頼できないネットワークに露出しており、認証前のコンテキストで到達可能である」と指摘しています。
VPNやIPsecで通信を保護している企業環境にとって深刻な脅威で、Microsoftは即時パッチが難しい場合の緩和策としてUDP 500番および4500番ポートのファイアウォールルールでのブロックを案内しています。
CVE-2026-33827:Windows TCP/IP RCE(CVSS 8.1)
リモートの認証なし攻撃者によるコード実行を許す脆弱性で、IPv6とIPSecが有効な構成ではwormable(自己増殖可能)の可能性があるとTenable等が指摘しています。Race condition(競合状態)に起因する脆弱性ですが、過去の経験上こうしたバグは悪用可能性が高いとされています。
CVE-2026-33826:Windows Active Directory RCE(CVSS 8.0、Critical)
Microsoft Exploitability Indexで「Exploitation More Likely」と評価されています。攻撃には認証が必要で、特定の細工RPC呼び出しを送信することでRPCホストと同じ権限でコード実行が可能になります。ただしMicrosoftの説明では「同じ制限付きActive Directoryドメイン内」にいることが前提とされており、単独でのインターネット側からの大規模攻撃は想定しにくい構成です。とはいえ、AD侵害が起きた後の横展開シナリオでは深刻な意味を持ちます。
SharePointゼロデイ以外で実務的に注意すべき脆弱性
各社分析が共通して言及している、CVSSスコア以外の理由で注意すべき脆弱性を3点挙げます。
CVE-2026-27913(Windows BitLocker、CVSS 7.7):BitLockerのSecure Bootバイパスを許すセキュリティ機能バイパス脆弱性で、信頼された署名済みソフトウェアのみが起動時に実行されるという信頼の鎖を破る性質を持ちます。Microsoftは「Exploitation More Likely」と評価しています。
CVE-2026-26151(Remote Desktop Spoofing、CVSS 7.1):RDPのスプーフィング脆弱性。Microsoftは「Exploitation More Likely」と評価。今月のリリースに合わせて、悪意ある可能性のあるRDPファイルとの相互作用に対する警告ダイアログが強化されました。
非Microsoft発行の4 CVE:AMD CVE-2023-20585、Node.js CVE-2026-21637、Windows Secure Boot CVE-2026-25250、Git for Windows CVE-2026-32631。これらはMicrosoftがまとめて再ホストする形で含まれており、各々独自のサプライチェーン依存関係を持つため、組み込み対象の管理状況を確認する価値があります。
JPCERT/CC日本語注意喚起と国内向けガイダンス
JPCERT/CCは2026年4月15日、JPCERT-AT-2026-0010として日本語での注意喚起を発出しました。Microsoft公式の更新プログラム適用とMicrosoft Update Catalog経由の更新を案内する内容で、国内独自のインシデント情報や追加IOCは含まれていません。日本語で確認できる公式一次ソースとして、社内のセキュリティ通知や上長への報告で活用できます。
JPCERT/CCの日本語注意喚起は、Adobe・Microsoft双方の月次大規模アップデートに対して数日以内に発出される運用が定着しており、日本国内の運用担当者にとって貴重な情報源となっています。
実務への含意
本Patch Tuesdayから、運用担当者が引き出せる実務的な含意を4点整理します。
第一に、CVE-2026-32201(SharePoint)の即時パッチ展開です。CVSSスコア6.5は対応優先度の判断基準としては機能しません。CISA KEV登録、Microsoft自身による悪用観測、認証もユーザー操作も不要という攻撃前提を組み合わせれば、これは今月最優先のパッチです。インターネットに公開されたSharePoint Server(オンプレ)が最も危険で、まずはここから着手します。SharePoint Serverの公開状況の棚卸し、特に「過去にProof of Concept的に立てたままになっている」「業務移行済みだがインフラだけ残っている」インスタンスの洗い出しが初動として有効です。
第二に、CVE-2026-33825(BlueHammer)への対応速度です。Defenderはほとんどの環境で自動更新されますが、エンタープライズ環境ではグループポリシーや管理製品で更新を制御している場合があります。4月3日にPoC公開済みという事実を踏まえれば、自動更新が来ているかを確認するだけでなく、能動的にDefender Antimalware Platformのバージョンが4.18.26050.3011以降であることを検証する価値があります。
第三に、Critical RCE群の評価です。CVE-2026-33824(IKE、CVSS 9.8)はVPN/IPsec環境での緊急対応が必要です。即時パッチが難しい場合は、Microsoftの緩和策(UDP 500/4500のファイアウォールブロック)を一時的に適用しつつ、計画的なパッチ展開に移行します。CVE-2026-33827(TCP/IP)とCVE-2026-33826(Active Directory)も、IPv6+IPSec環境および AD ドメイン環境で優先度を上げて対応すべき対象です。
第四に、AI支援による脆弱性発見の構造的増加への対応です。ZDIが指摘する「AIツールによる発見の3倍増」は、近年継続的に観測されている「アドバイザリ公開からの悪用時間の圧縮」(FlowiseやMarimoなどAIノートブック・エージェントビルダー系の事例で顕著)と裏表の関係にあります。発見が加速し、悪用も加速する。Patch Tuesday月次のパッチ展開サイクルでは、もはや時間軸が合わなくなる脆弱性が増えてきていることを示しています。CISA KEV登録のような短期間の修正期限が標準的に設定される運用に、組織のパッチ展開プロセスを合わせていく必要があります。
ソース
一次ソース
- Microsoft Security Response Center(MSRC)「CVE-2026-32201 Microsoft SharePoint Server Spoofing Vulnerability」
Security Update Guide - Microsoft Security Response Centermsrc.microsoft.com - Microsoft Security Response Center(MSRC)「CVE-2026-33825 Microsoft Defender Elevation of Privilege Vulnerability」
Security Update Guide - Microsoft Security Response Centermsrc.microsoft.com - Microsoft Security Response Center(MSRC)「CVE-2026-33824 Windows Internet Key Exchange (IKE) Service Extensions RCE」
Security Update Guide - Microsoft Security Response Centermsrc.microsoft.com - Microsoft Security Response Center 月例リリースノート(April 2026)
Security Update Guide - Microsoft Security Response Centermsrc.microsoft.com - JPCERT/CC 注意喚起「2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起」JPCERT-AT-2026-0010(2026年4月15日公開)
![]()
2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起www.jpcert.or.jp - CISA Known Exploited Vulnerabilities Catalog(CVE-2026-32201登録、Due Date: 2026年4月28日)
Known Exploited Vulnerabilities Catalog | CISAFor the benefit of the cybersecurity community and network defenders???and to help every organization better manage vuln...www.cisa.gov - Microsoft Lifecycle Policy「SharePoint Server 2016」
![]()
SharePoint Server 2016 - Microsoft LifecycleSharePoint Server 2016 follows the Fixed Lifecycle Policy.learn.microsoft.com - Microsoft Lifecycle Policy「SharePoint Server 2019」
![]()
SharePoint Server 2019 - Microsoft LifecycleSharePoint Server 2019 follows the Fixed Lifecycle Policy.learn.microsoft.com
参考情報(二次報道・分析)
- Zero Day Initiative「The April 2026 Security Update Review」
![]()
Zero Day Initiative — The April 2026 Security Update ReviewIt’s time once again for Patch Tuesday, and this one is huge. We’ve also got multiple exploits in the wild, which adds a...www.thezdi.com - The Hacker News「Microsoft Issues Patches for SharePoint Zero-Day and 168 Other New Vulnerabilities」
Just a moment...thehackernews.com - Rapid7「Patch Tuesday – April 2026」
![]()
Patch Tuesday - April 2026Microsoft is publishing 167 vulnerabilities on April 2026 Patch Tuesday, including an exploited-in-the-wild SharePoint v...www.rapid7.com - Tenable「Microsoft’s April 2026 Patch Tuesday Addresses 163 CVEs (CVE-2026-32201)」
![]()
April 2026 Microsoft Patch Tuesday | Tenable®Microsoft patched 163 CVEs in April including two zero-day vulnerabilities in SharePoint and Microsoft Defender. CVE-202...www.tenable.com - Krebs On Security「Patch Tuesday, April 2026 Edition」
Patch Tuesday, April 2026 Edition – Krebs on Securitykrebsonsecurity.com - BleepingComputer「Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days」
![]()
Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-daysToday is Microsoft's April 2026 Patch Tuesday with security updates for 167 flaws, including 2 zero-day vulnerabilities.www.bleepingcomputer.com - Computer Weekly「April Patch Tuesday brings zero-days in Defender, SharePoint Server」
![]()
April Patch Tuesday brings zero-days in Defender, SharePoint Server | Computer WeeklyMicrosoft's latest Patch Tuesday update may be one of the largest in history, with over 160 issues in scope.www.computerweekly.com
コメント