2026年5月パッチチューズデー：120件修正・29件クリティカルRCE、Azure・Copilotまで攻撃面が拡大

2026年5月のパッチチューズデーがリリースされた。今月は120件の脆弱性が修正され、うち29件がリモートコード実行（RCE）のクリティカル評価を受けている。幸いにも今月はゼロデイ（パッチ適用前に悪用が確認された脆弱性）は含まれていないが、DNS・Netlogon・Hyper-V・Office・SharePoint・Copilotと、攻撃対象面の広さは過去最大級だ。「ゼロデイがないから余裕」と判断するのは危険で、今月こそしっかりとした優先度判断と迅速な適用が求められる。

脆弱性の全体像

今月の修正を種別で整理すると、最も多いのが権限昇格（EoP）の61件で、全体の約半数を占める。続いてRCEが31件、情報漏洩が14件、なりすましが13件、DoSが8件、セキュリティ機能バイパスが6件となっている。

数字で語られがちなRCEより、実は権限昇格の件数が突出している点に注目してほしい。RCEは「入口」だが、EoPは「奥に進む手段」だ。攻撃者はRCEで初期侵入し、EoPで権限を拡大し、横展開する。61件というEoPの多さは、侵入後の被害拡大リスクがそれだけ高いことを示している。

今月の注目脆弱性

Windows DNS クライアントおよびNetlogon（CVE-2026-41096 / CVE-2026-41089）

過去にSigRedやZerologonが引き起こした壊滅的な被害を記憶している方も多いだろう。今月のDNSクライアントおよびNetlogonのRCEは、その類に属する「認証・名前解決スタックへの侵害」が可能な脆弱性だ。ドメイン参加環境では特に優先度を最上位に置くべきである。

Windows Hyper-V（CVE-2026-40402）

クリティカル評価の権限昇格。マルチテナント環境やプライベートクラウドでは、ゲストOSからホストOSへのエスケープに使われる可能性がある。影響範囲の広さ（ブラスト半径の大きさ）を考えると、仮想化基盤を運用している企業はすぐに対応してほしい。

Microsoft Office / Word / SharePoint

複数のRCEが含まれる。特にWord文書経由の攻撃は、フィッシングメールと組み合わせることで「メールを受け取った人がファイルを開いただけで侵害される」シナリオが現実になる。日本企業でもWord・Excelは業務の中心にあるだけに、エンドユーザーへの注意喚起もセットで行いたい。

M365 Copilot / GitHub Copilot / Azure Machine Learning

今月の特筆事項のひとつが、AIツール群にも複数の修正が含まれている点だ。M365 Copilot（デスクトップ・Android版）、Visual Studio用GitHub Copilot、Azure Machine Learningノートブックにおいて、なりすましやセキュリティ機能バイパスが修正された。評価はCriticalではなくImportantだが、侮れない。これらのツールはソースコード・社内文書・チャット履歴の近くに常駐しており、攻撃者にとって「情報の宝庫への玄関口」になりうる。

Visual Studio Code

VS Codeにも複数の修正（権限昇格・情報漏洩・RCE・セキュリティバイパス）が含まれる。開発者ツールは往々にして企業のセキュリティポリシーの「抜け穴」になりやすい。開発チームへのパッチ適用周知を忘れずに。

実務への影響：日本のIT管理者がやるべきこと

今週中に対応すべき最優先項目：

• Windows DNS・Netlogon パッチ——ドメインコントローラーおよびDNSサーバーへの適用を最優先に。ネットワーク境界に露出している環境は特に急ぐ
• Hyper-V 更新——仮想化基盤を持つ環境ではメンテナンスウィンドウを即日設定する
• Office / Word パッチ——Microsoft 365 Apps for Enterpriseは自動更新ポリシーを確認。オンプレMSIインストールはWSUSやIntuneで強制配布を
• SharePoint Server（オンプレ）——クラウドシフトが進んでも残存するオンプレSharePointは見落とされがち。インベントリを確認して

中期的に検討すべきこと：

• EoPが61件という数字は、特権アカウントの常時付与がリスクであることを改めて示している。Just-In-Time（JIT）アクセスの仕組みが整っていない環境では、このタイミングで検討を始めてほしい
• CopilotやVS Codeの脆弱性修正が常態化してきた。AIツールも通常のITアセットと同様に管理・パッチ適用の対象として扱う体制を整備しておく必要がある

筆者の見解

今月のパッチ一覧を眺めていて感じるのは、「攻撃対象面の広がりが止まらない」という現実だ。WindowsのDNS・Netlogon・GDIといった古くからの基盤レイヤーから、CopilotやAzure Machine LearningといったAI時代の新しいコンポーネントまで、120件という数字で一括りにされているが、その意味する攻撃面の複雑さはかつてとは比較にならない。

とりわけ気になるのがEoPの多さだ。RCEだけを警戒して「入り口を守れば十分」と考える組織はまだ多い。しかし61件のEoPが示すのは、攻撃者がすでに「侵入後の動き方」まで丁寧に研究していることだ。侵入を完全に防ぐことを前提にしたセキュリティ設計——すなわちゼロトラスト的なアーキテクチャと、特権の最小化・JIT付与——を当たり前にしていない組織は、今月の脆弱性のどれかを通じて「侵入後に気づく」未来がすぐそこにある。

もう一点。CopilotやVS Codeへの修正が毎月のように含まれるようになってきた。AIツールを業務に組み込むスピードは速いが、それをセキュリティ管理の枠組みに取り込むスピードは追いついているだろうか。「便利だから使う」と「安全に使える仕組みを作る」は車の両輪だ。禁止してもどこかで使われる。それより、正式に管理下に置いて、こういったパッチも漏れなく当たる体制を整える方が、長い目で見て健全だと思う。

ゼロデイなしという点は素直に評価したい。一方で120件という件数は、複雑化した現代のエンタープライズITが抱える構造的な課題の現れでもある。毎月のパッチ適用を「作業」として流すのではなく、「今月の脅威ランドスケープの変化」として読む習慣が、担当者の判断力を育てる。

出典: この記事は Microsoft Patch Tuesday May 2026 - 120 Vulnerabilities Fixed, Including 29 Critical RCE Flaws の内容をもとに、筆者の見解を加えて独自に執筆したものです。