毎月第2火曜日、Microsoftが月例セキュリティ更新プログラム「パッチチューズデー」をリリースする。2026年4月分は過去最大級の規模で、合計167件の脆弱性に対処。うち2件がゼロデイ脆弱性、8件がCritical(緊急)に分類された。特にSharePoint Serverで悪用済みゼロデイが報告されており、オンプレミス環境を運用している組織は今すぐ動く必要がある。

今月のパッチ概要:167件の規模感を理解する

修正件数の内訳を確認しておこう。

カテゴリ 件数

特権昇格(EoP) 93件

情報漏洩 21件

リモートコード実行(RCE) 20件

セキュリティ機能のバイパス 13件

サービス拒否(DoS) 10件

なりすまし(Spoofing) 9件

EoP(Elevation of Privilege)が93件と突出して多いのが今月の特徴だ。これはアプリ内での権限昇格を可能にする脆弱性であり、それ単体でシステムを乗っ取れるわけではないが、他の脆弱性と組み合わせた攻撃チェーンとして悪用されるケースが多い。「別の脆弱性から侵入→EoP脆弱性で管理者権限取得」という流れは典型的な攻撃パターンであり、EoPを軽視してはならない。

なお、この167件にはAzure、Bing、Marinerのパッチは含まれていない。Microsoft Edge(Chromium)も別途80件のパッチがGoogleから提供されており、ブラウザ管理も忘れずに。

ゼロデイ詳細:SharePointとDefender、それぞれの対応方針

CVE-2026-32201:SharePoint Serverのなりすまし脆弱性(悪用確認済み)

最も緊急度が高いのがこちらだ。SharePoint Serverにおける不適切な入力検証により、未認証の攻撃者がネットワーク越しにSpoofing(なりすまし)を実行できる。具体的な被害としては、機密情報の閲覧および情報の改ざんが可能とされている(可用性への影響はなし)。

すでに実際の攻撃への悪用が確認されているにもかかわらず、Microsoftは悪用手法や報告者の詳細を開示していない。こういった情報の非公開には賛否があるが、攻撃者にヒントを与えないという観点では理解できる判断でもある。

対応方針:SharePoint Serverをオンプレミスで運用している組織は今すぐパッチを適用すること。SharePoint Onlineを利用しているSaaS環境ではMicrosoft側で対応済みだが、ハイブリッド構成やオンプレミス環境は手動での確認が必須だ。

CVE-2026-33825:Microsoft Defenderの特権昇格脆弱性(一般公開済み)

Defender Antimalware Platformに存在するEoP脆弱性で、悪用に成功するとSYSTEM権限を奪取される。こちらは悪用は未確認だが、詳細がすでに一般公開されているため、攻撃コードの開発・悪用化がいつ始まってもおかしくない状況だ。

修正はDefender Antimalware Platform バージョン 4.18.26050.3011 で提供される。通常は自動更新されるが、管理環境や閉域網ではWindows Security → ウイルスと脅威の防止 → 保護の更新から手動確認を。発見者はZen DoddおよびYuanpei XU氏(HUST)とされており、大学研究者による脆弱性発見という点でも注目される。

Office RCE:プレビュー表示するだけで危ない

今月はWordとExcelにリモートコード実行(RCE)の脆弱性も複数修正されている。特に問題なのが「プレビューペインでの実行が可能」という点だ。つまり、添付ファイルを開く前、メール一覧でファイルをクリックしただけで悪意あるコードが実行される可能性がある。

外部からのメールを日常的に受け取る業務環境では、こうしたOfficeのRCE脆弱性は特に危険だ。Microsoft Officeのアップデートを優先的に確認しよう。

他社パッチとの「合わせ技」に注意

4月は他ベンダーも大型パッチを同時リリースしている。

  • Adobe:Illustrator、Reader、Acrobat、Photoshop等でゼロデイを含む修正。Adobe Reader/Acrobatのゼロデイは悪用確認済みであり、PDFを開くだけで感染するリスクがある
  • Apache ActiveMQ Classic:13年間検出されなかったRCE脆弱性が修正。長期稼働の基盤ソフトウェアが潜在的な爆弾を抱えていた事実は重い
  • Cisco:Integrated Management ControllerにAdmin権限奪取可能な認証バイパス
  • FortinetApple:それぞれ複数製品に重大パッチ

単一ベンダーだけを見ていると漏れが生じる。特にAdobe製品は企業内での普及率が高く、Reader/Acrobatのゼロデイは明日のインシデントに直結しうる。

実務への影響:IT管理者が今すぐすべきこと

優先度:高(今週中)

  1. SharePoint Server(オンプレミス)へのパッチ適用確認 — 悪用済みゼロデイのため最優先
  2. Microsoft Officeのアップデート確認 — RCEがプレビューペインで発火するため見落とし注意
  3. Microsoft DefenderのAntimalware Platformバージョン確認 — 閉域・管理ネット環境では自動更新が機能していない場合がある
  4. Adobe Reader/AcrobatのパッチとChromium系ブラウザの更新 — ゼロデイ悪用済みにつき即時対応

継続的な管理として

  • EoP 93件という数字は「侵入後の被害拡大」リスクの高さを示している。侵入を防ぐだけでなく、最小権限原則(Least Privilege)とJust-In-Timeアクセス管理の徹底が改めて重要だ
  • 閉域網や管理ポリシーで自動更新を制限している環境では、今月のように緊急度の高いパッチが出た際の「手動確認フロー」を整備しておく必要がある

筆者の見解

今月のパッチチューズデーは規模だけでなく内容でも重い月だった。SharePointのゼロデイが悪用済みであること、Office RCEがプレビュー発火であること、Apache ActiveMQに13年越しのRCEがあったこと——どれをとっても、「今動いているから大丈夫」という判断が通用しない現実を突きつけている。

EoP 93件という数字について、筆者が気になるのは「侵入後の横展開のしやすさ」だ。攻撃者はまず侵入口を探し、次に権限を昇格させ、ドメイン全体に展開するというパターンを好む。EoPの多さは、侵入に成功した後の「ゲームオーバーまでの速さ」に直結する。ゼロトラストの文脈で言えば、ネットワーク境界の防御だけではもはや不十分で、認証・認可層での最小権限原則の徹底が不可欠だ。Just-In-Time アクセス管理を「いつかやること」として後回しにしてきた組織にとって、そのコストは今月のようなパッチを見るたびに上がり続けている。

Microsoftに対して正直に言えば、SharePointのゼロデイ詳細(攻撃経路・報告者)を公開しない判断は一定の合理性があるとしても、悪用済みの脆弱性に対して「スピード感のある通知とガイダンス」をもっと積極的に出せるはずだ。Microsoftほどのリソースと情報収集能力があれば、管理者が即座に対応判断できるような情報開示が十分に可能なはず。持っている力を最大限に活かしてほしいと思う。

Adobe Reader/Acrobatの悪用済みゼロデイについても触れておきたい。PDFを開くだけで感染するリスクが存在する現状で、まだデフォルトのPDFビューアにAdobe製品を指定している環境は少なくない。企業環境でのPDFハンドラ方針を見直す良いタイミングだ。「禁止するのではなく、安全に使える仕組みを整える」——その第一歩として、今月のパッチ適用を確実に完了させることが出発点になる。

出典: この記事は Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days の内容をもとに、筆者の見解を加えて独自に執筆したものです。