2026年4月のPatch Tuesdayが公開された。今月は165件のCVEが修正対象となり、なかでも権限昇格・暗号化バイパス・ネットワーク経由のリモートコード実行という三つの重大脆弱性が揃い踏みとなった。Windows環境を運用するすべてのIT管理者が確認すべき内容をまとめた。

今月の注目脆弱性

1. Windows DWMコアライブラリのヒープバッファオーバーフロー(権限昇格)

DWM(Desktop Window Manager)は、Windowsの描画処理を担うカーネルに近いコンポーネントだ。今回発見されたヒープバッファオーバーフローは、ローカルの攻撃者がSYSTEM権限を取得できる権限昇格につながる。

ローカル実行が前提ではあるが、マルウェアが初期侵入を果たした後の権限昇格ステップとして利用されるのが典型的なシナリオだ。「SYSTEM権限で動くコンポーネントの脆弱性」は攻撃チェーンの致命的なリンクになる。侵入後にどこまで広がれるか——攻撃者の展開速度を左右するのがこの種の脆弱性だ。

2. BitLockerセキュリティバイパス

ノートPCの紛失・盗難時のデータ保護として多くの企業が頼るBitLockerに、セキュリティバイパスが見つかった。物理的にデバイスを入手した攻撃者がドライブの暗号化を突破できる可能性がある。

テレワーク・モバイルワークが常態化した現在の日本の職場では、端末の持ち出しリスクは以前より高い。「BitLockerで守っているから持ち出しOK」という運用ポリシーを続けている組織は、今すぐこのバイパスを塞ぐ必要がある。情報漏洩インシデントの根拠として「BitLockerは適用済みでした」が通用しなくなる。

3. Connected Devices Platform Service(Cdpsvc)のUse-After-Free(ネットワーク経由RCE)

三つの中で最も広域に影響するのがこれだ。Cdpsvc(Connected Devices Platform Service)のUse-After-Free脆弱性は、ネットワーク経由でのリモートコード実行(RCE) が可能なタイプだ。

ローカル操作を必要とする前の2件とは性質が根本的に異なる。ネットワークに到達可能な状態であれば、認証なしに悪用できる可能性がある。社内ネットワークに接続されたWindowsマシン全台が潜在的な標的になりうる点で、今月の優先度は最上位に置くべき脆弱性だ。

5月12日にも次のPatch Tuesdayが控えている

2026年5月12日(米国時間)には次のPatch Tuesdayが予定されている。4月の更新を未適用のまま5月を迎えると、脆弱性の累積リスクがさらに積み上がる。今月は特に早めの対応が価値を持つ。

実務への影響:IT管理者が今週やること

優先適用を推奨する環境:

  • インターネット直接接続のWindowsマシン(CdpsvcのRCEリスクが高い)
  • BitLockerを情報漏洩対策の主軸に据えている組織
  • BYOD・モバイルワークが多い職場
  • 社内ネットワークをゼロトラスト移行できていない環境

段階的適用も選択肢に入る環境:

  • 完全に閉じた業務ネットワーク上のシステム
  • 本番前に検証環境でのテストが義務付けられているインフラ

近年の累積更新は、適用後の問題報告が増えている。「すぐ当てたら印刷が壊れた」「起動しなくなった」——こういった事例は今年も後を絶たない。数日間、社内パイロット端末や周辺の報告を確認してから広域展開するのも、れっきとしたセキュリティ判断だ。盲目的な即日適用が「優秀な管理者の証明」ではない。

筆者の見解

165件のCVEを一月で修正——数字だけ見ると圧倒されるが、月次リリースとしては珍しくはない。Microsoftがセキュリティパッチのリリースサイクルを整備し、CVSSスコアや悪用可能性の情報を丁寧に公開するようになったことは、現場の優先順位付けに確実に役立っている。この体制は評価したい。

今月特筆すべきはCdpsvcのRCE脆弱性だ。ネットワーク越しに悪用できる脆弱性は攻撃者の「コスト」が圧倒的に低い。「社内ネットワークに入れば信頼できる」という前提をすでに捨てたゼロトラスト移行済みの組織は、こうした脆弱性の影響範囲を相対的に抑えられる。旧来の境界防御モデルに依存している環境では、今回のような脆弱性が一段と脅威度を増す。

VPNで守っているから大丈夫——残念ながらその発想はもう機能しない。そのVPNクライアント自身が次の標的になる時代だ。パッチ管理は引き続き必須だが、「ネットワーク内部でも最小権限・継続認証」というゼロトラストの原則を組み合わせることが、長期的に正しい防御の姿だと改めて確信している。毎月のパッチ作業を「消化」にするのか「学習」にするのか——その差が、数年後の組織のセキュリティ成熟度に現れてくる。

出典: この記事は Microsoft April/May 2026 security updates | Windows 11 Forum の内容をもとに、筆者の見解を加えて独自に執筆したものです。