4月のPatch Tuesdayが終わって一息ついたのも束の間、Windows Server環境を管理しているエンジニアは週明けから厳しい状況に直面している。Microsoft自身が「緊急(Out-of-Band)」と位置づける帯域外更新プログラムを複数バージョン向けに公開した。影響範囲がドメインコントローラーという基幹インフラに及んでいるため、特にオンプレミスのActive Directory環境を持つ企業は早急な対応が求められる。

何が起きているのか——2つの深刻な不具合

今回の緊急パッチが対処する問題は大きく2つある。

1. LSASS クラッシュによるドメインコントローラーの再起動ループ

最も深刻なのが、Local Security Authority Subsystem Service(LSASS)のクラッシュだ。4月の累積更新プログラムを適用したドメインコントローラーが起動直後に再起動を繰り返すという症状で、既存のドメインコントローラーだけでなく、新規セットアップ中のサーバーでも発生し得る。LSSASSは認証処理の中核を担うコンポーネントであり、これが落ちるということは認証基盤そのものが止まることを意味する。Active Directoryに依存したシステム全体へのカスケード障害リスクを考えると、迅速な対処が必須だ。

2. Windows Server 2025 での KB5082063 インストール失敗と BitLocker 復旧問題

Windows Server 2025 では、4月のセキュリティ更新プログラム(KB5082063)のインストール自体が失敗するケースが報告されていた。さらにインストールが通った場合でも、BitLockerの回復モードに入り、ユーザーに回復キーの入力を求める事態が発生している。本番環境で突如BitLocker回復画面が出るのは運用担当者にとって悪夢でしかない。

緊急OOBパッチの適用対象バージョンと KB 番号

今回 Microsoft が公開した緊急更新プログラムは以下の通りだ。

バージョン KB番号 OSビルド

Windows Server 2025 KB5091157 26100.32698

Windows Server, version 23H2 KB5091571 25398.2276

Windows Server 2022 KB5091575 20348.5024

Windows Server 2019 KB5091573 17763.8647

Windows Server 2016 KB5091572 14393.9062

Windows Server 2025 Datacenter: Azure Edition(Hotpatch) KB5091470 26100.32704

Windows Server 2022 Datacenter: Azure Edition(Hotpatch) KB5091576 20348.5029

Microsoftの公式説明によると、Windows Server 2025 向けの KB5091157 はインストール失敗問題とドメインコントローラーの再起動問題の両方を修正する。その他のバージョン向けは、ドメインコントローラーの再起動問題のみに対処する。

実務での対応ポイント

ステップ1:まず影響を確認する

自環境のWindows Serverバージョンと、4月の更新プログラム(KB5082063など)の適用状況を確認しよう。ドメインコントローラーの役割を持つサーバーが最優先の確認対象だ。イベントビューアーでLSASSに関連するクラッシュログが記録されていないかも確認すること。

ステップ2:OOBパッチを優先適用する

Windows Update または Microsoft Update カタログから上記の KB番号を検索して適用する。通常のPatch Tuesdayサイクルを待たず、今すぐ適用を検討してほしい。ドメインコントローラーの役割を持つサーバーから優先的に当てるのが基本だ。

ステップ3:Windows Server 2025 環境は BitLocker 回復キーを事前確認

BitLocker が有効なWindows Server 2025 環境では、パッチ適用前にBitLocker 回復キーを手元に用意しておくこと。Microsoft Entra ID または Active Directory に保存されている回復キーを事前にメモ・印刷しておくと、万が一の際にも慌てずに済む。

ステップ4:本番前にテスト環境で検証

これだけ問題が重なっているサイクルでは、本番への適用前に検証環境での動作確認を必ず挟みたい。特に再起動ループ系の問題は本番で発生すると影響が大きいため、慎重にいこう。

筆者の見解

今月のPatch Tuesdayは、率直に言って「もったいない」の一言に尽きる。

セキュリティ更新プログラムは適用してこそ意味があるものなのに、「当てたら壊れた」が続く状況では、現場の管理者が更新を躊躇する理由を作ってしまう。セキュリティリスクと運用リスクのトレードオフを毎月迫られる立場を想像してほしい。「数日様子を見る」という判断が立派なセキュリティ管理であると言わざるを得ない状況になっている。

ドメインコントローラーのLSASSクラッシュという問題は、Active Directory 認証基盤の根幹に触れるものだ。これを引き起こすパッチがリリースされたこと自体、品質保証プロセスに見直しの余地があることを示唆している。Microsoftにはその技術力もリソースもあるはずで、正面から品質問題と向き合ってほしいと思う。

一方、今回 OOB 更新を短期間で出してきた対応の速さは評価したい。問題を認めて素早く対処する姿勢は大切だ。

今後に期待することを一つ挙げるなら、「月例パッチ適用 → OOB で修正」のサイクルを繰り返すのではなく、リリース前の検証品質の底上げを優先してほしい。それが、何百万台もの本番サーバーを管理する世界中の管理者への最大のリスペクトだと思っている。

出典: この記事は Microsoft releases emergency updates to fix Windows Server issues の内容をもとに、筆者の見解を加えて独自に執筆したものです。