2026年4月のPatch Tuesdayは、企業のセキュリティ担当者にとって「静かに見過ごせる月」ではなかった。修正された脆弱性は167件に上り、過去最大規模。うち11件がCritical、さらに2件がゼロデイ(既に悪用確認済み)という内容だ。加えて、2026年6月26日という具体的なデッドラインが設定されたSecure Boot証明書の失効問題まで重なり、対応の優先順位付けが例月以上に重要になっている。

今回の目玉:2つのゼロデイを押さえる

① RDPリモートコード実行(CVE未公表 / 悪用確認済み)

リモートデスクトッププロトコル(RDP)に、未認証のまま任意コードを実行できる脆弱性が確認された。攻撃経路はフィッシングメールによる悪意ある .rdp ファイルの配布だ。ユーザーがそのファイルを開くだけで、接続設定が悪用される。

April更新では、.rdp ファイルを初回起動した際にセキュリティ警告を表示し、接続設定をデフォルト無効にする変更が加えられた。「なぜ今まで警告がなかったのか」という声も出そうだが、まずは緩和策として評価できる対応だ。

即応ポイント:

  • 外部からの .rdp ファイルをメールで受け取った際の取り扱いポリシーを周知する
  • RDPを外部公開している環境は、今すぐ適用を最優先にする

② Windowsカーネル特権昇格(CVE未公表 / 悪用確認済み)

ローカルの攻撃者やマルウェアがSYSTEMレベルへの権限昇格を行える脆弱性。初期侵害の後段で組み合わせて使われる「マルチステージ攻撃」のパーツとして使われることが多い。EDR(Endpoint Detection and Response)が完全展開されていない環境、またはラテラルムーブメントが可能なフラットネットワーク環境では特に危険度が高い。

Secure Boot証明書失効:6月26日という外せないデッドライン

今回のパッチで最も長期的な影響を持つのが、Secure Boot証明書の失効問題だ。

2011年に発行されたSecure Bootのレガシー証明書は、2026年6月26日を以てWindows Boot Managerのセキュリティ更新対象外となる。これはつまり、旧証明書に依存したままの環境では、それ以降のブートレベルのパッチが適用されなくなる。

ブートキットマルウェア「BlackLotus」(CVE-2023-24932)はその典型的な攻撃先だ。4月の更新では新証明書への段階的移行とWindows Security アプリへのSecure Bootステータス表示が追加されており、管理者が現状把握できるようになった。

確認すべきこと:

  • Windows Securityアプリ→「デバイスセキュリティ」でSecure Bootの状態を確認
  • WSUS・Intune管理環境ではデバイスのSecure Boot対応ステータスをレポートとして収集する
  • Windows 10を継続利用している企業は、6月が事実上のマイグレーション期限になる点を意識する

その他の注目脆弱性

コンポーネント 種別 CVE 概要

SQL Server 特権昇格 CVE-2026-32167 DB管理権限の奪取リスク

PowerShell セキュリティ機能バイパス 複数 スクリプト実行制御の回避

Windows Snipping Tool RCE CVE-2026-32183 画像処理経由のコード実行

LSASS 情報漏洩 CVE-2026-26155 認証情報の漏洩リスク

HTTP.sys / USB Printing Stack 複数 複数 サービス妨害・権限昇格

実務への影響:日本のIT現場が今すぐやること

優先度:高(今週中)

  1. RDP脆弱性パッチの適用。特にインターネット向けにRDPを公開しているサーバー
  2. カーネル特権昇格パッチの適用。Windows 11・10の両方が対象
  3. Secure Bootの状態確認を全端末で実施

優先度:中(今月中)

  • SQL ServerはDBアカウントのJust-In-Time権限付与の見直しも合わせて検討する
  • PowerShellのConstrained Language Modeの適用状況を確認
  • EDRが全端末に展開済みかを棚卸しする。特権昇格ゼロデイはEDRがないと検知が難しい

6月までに必ず完了すること

  • Secure Boot証明書の移行対応
  • Windows 10継続利用環境のWindows 11移行計画(または代替セキュリティ対策)の確定

筆者の見解

セキュリティパッチ対応は「好き嫌い」を言っていられない領域だが、今回はいくつか技術的に興味深い動きがある。

rdp ファイルによるRCEは「そういう攻撃経路があったのか」と膝を打つ内容だ。「ダブルクリックで接続できて便利」という設計が悪用されるパターンは、OneDriveの誤解問題と同じ構造——作り手の意図とユーザーの認識にギャップがある場所に脆弱性が生まれる。UIレベルの緩和策は正しい方向だと思う。

Secure Boot証明書の件は、「どうせ先送り」ではすまない具体的な期限が打ち込まれた点が重要だ。日本の大規模エンタープライズでは、まだWindows 10を大量に抱えた環境がある。6月26日という日付は「気づいたらアウト」になりかねない。今こそ移行の意思決定を迫られる機会として捉えてほしい。

Windowsカーネルの特権昇格については、ゼロトラストの観点から一言添えたい。このクラスの脆弱性が悪用される前提条件は「初期侵害が発生していること」だ。フラットなネットワーク、過剰な常時アクセス権、EDRの穴——これらを放置したままパッチだけ当てても、攻撃チェーンを途中で止める力は弱い。Just-In-Timeアクセス、最小権限、ネットワーク分離を合わせて整備してこそ「パッチを当てた意味が出る」。パッチはあくまで防御の一層に過ぎない。

167件という数字は確かに多い。だが数に圧倒されるのではなく、「ゼロデイ2件」「6月のデッドライン」この2点に集中して動くのが今月の正解だ。

出典: この記事は Microsoft Patch Tuesday April 2026: Critical Vulnerabilities, RDP and Secure Boot Zero-Days Impacting Windows Systems の内容をもとに、筆者の見解を加えて独自に執筆したものです。