2026年5月 Microsoft パッチチューズデー：118件のCVEを修正、Jira/Confluence SSOプラグインのEntra ID認証バイパス（CVSS 9.1）とNetlogon RCE（CVSS 9.8）に早急な対応を

Microsoftは2026年5月のパッチチューズデーで計118件のCVE（Common Vulnerabilities and Exposures）に対処した。Critical評価が16件、Important評価が102件で、2024年6月以来初めてゼロデイ脆弱性の悪用報告がない月となった。とはいえ今月の内容は決して安心できるものではなく、企業Active Directory環境と、JiraおよびConfluenceを使う組織には即座の対応が求められる。

今月の脆弱性の傾向

今月のパッチで最も目立つのは特権昇格（EoP: Elevation of Privilege）脆弱性の多さだ。全体の**48.3%**を占め、リモートコード実行（RCE）の24.6%を大幅に上回る。EoP単体での完全な侵害は困難だが、フィッシングや他の脆弱性と組み合わせることで攻撃者がSYSTEM権限を獲得できる多段階攻撃の足がかりになる。今月のパッチ対象はWindowsコンポーネントだけでなく、Azure（AI Foundry、DevOps、Entra ID、Logic Apps 等）、Microsoft 365 Copilot、GitHub Copilot、Visual Studio Code、SQL Serverなど広範囲に及ぶ。

特に注意すべき脆弱性

CVE-2026-41103：Microsoft SSO Plugin for Jira & Confluence（CVSS 9.1・Critical）

今月最も注目すべき脆弱性はJira・Confluence向けのMicrosoft SSOプラグインに存在する特権昇格の問題だ。Tenableのレポートでは「Exploitation More Likely（悪用される可能性が高い）」と評価されており、対応の緊急性は高い。

攻撃者はログインプロセス中に細工したレスポンスメッセージを送信することで、Microsoft Entra ID認証をバイパスして偽造されたIDでサインインできる。Entraに登録していない攻撃者が、対象サーバーの許可範囲内でJira・Confluenceのデータへのアクセスや改ざんを行うことが可能になる。AtlassianのJiraやConfluenceは国内でも中規模以上の企業で広く使われているプロジェクト管理・ナレッジ共有基盤だ。SSOプラグイン経由の認証バイパスは、社内情報の漏洩やワークフローへの不正介入に直結しうる。

CVE-2026-41089：Windows Netlogon リモートコード実行（CVSS 9.8・Critical）

CVSSスコア9.8という最高クラスの危険度を持つWindows Netlogonのリモートコード実行脆弱性だ。ドメインコントローラーへの未認証攻撃が可能という点が深刻で、Active Directoryに依存するオンプレミスおよびハイブリッド環境では優先度最高でのパッチ適用が必須だ。

Windows カーネル EoP（CVE-2026-33841 / CVE-2026-35420 / CVE-2026-40369）

Windowsカーネルに存在する3件のEoP脆弱性（いずれもCVSS 7.8）のうち、CVE-2026-33841とCVE-2026-40369は「Exploitation More Likely」の評価を受けている。ローカルの攻撃者がSYSTEM権限や中・高完全性レベルへの昇格を図ることができる。フィッシング経由でマルウェアを実行された後の権限昇格に悪用されるパターンが典型的で、エンドポイント管理が甘い環境ではリスクが高い。

実務への影響と対応ポイント

今すぐ確認・対応すべき事項：

• Jira・Confluence利用中の組織はSSO Pluginバージョンを今すぐ確認：Microsoft SSOプラグインを使用していれば脆弱なバージョンかどうかを確認し、更新を即座に実施する。CVSS 9.1かつ「悪用可能性が高い」評価は猶予がない
• ドメインコントローラーへのNetlogonパッチを最優先で適用：CVSS 9.8のCVE-2026-41089はADの心臓部が標的。通常のメンテナンスウィンドウを待たず、緊急展開を検討する
• エンドポイントへのパッチ展開順序を見直す：EoP脆弱性が今月の半数近くを占めることを踏まえ、IntuneやWSUSの展開リングでリスクベースの適用順序を設計する
• Azure関連CVEの確認：Entra ID、Azure DevOps、Azure AI Foundryなどクラウド側のパッチも含まれているため、Microsoft Defender for Cloudで脆弱性ステータスを確認する

筆者の見解

今回のパッチで特に気になったのはCVE-2026-41103、つまりMicrosoft Entra IDの認証をバイパスできるという点だ。ゼロトラストアーキテクチャの根幹は「すべてのアクセスを毎回検証する」ことにあるが、SSOプロセスの中でその検証が迂回されるなら、せっかくEntraを中心に据えたアクセス制御の設計が崩れてしまう。Entraをアイデンティティの柱として採用している組織ほど、今回の脆弱性のインパクトは大きい。

また特権昇格が今月の脆弱性の半数近くを占めているという事実は、Just-In-Time（JIT）アクセスの重要性をあらためて突きつけてくる。常時SYSTEM権限を与えているアカウントが1つでもあれば、EoP脆弱性ひとつで組織全体が危険にさらされる。「管理者権限の常時付与」という運用は、まさに今月のようなパッチが対象にしている攻撃シナリオにぴったり当てはまる。

Microsoftが毎月これだけの量のパッチを出し続けているのは、製品の攻撃対象領域がそれだけ広いということでもある。Windowsからクラウド、開発ツール、ビジネスアプリケーションまで一気通貫で抱えているがゆえのコストだ。だからこそ、個別製品ごとにパッチを追うのではなく、Defender for CloudやIntuneを通じた一元的な脆弱性管理に投資する価値がある。そのためのエコシステムを自社で揃えているMicrosoftには、ぜひその強みを活かした運用体制の整備を——ユーザー企業と一緒に——推進してほしいと思う。

出典: この記事は May 2026 Microsoft Patch Tuesday | Tenable® — CVE-2026-41103 analysis の内容をもとに、筆者の見解を加えて独自に執筆したものです。