Azure Cloud ShellにCVSS最高値10.0の脆弱性（CVE-2026-32169）—2026年5月パッチで修正、Netlogonのワーム化可能RCEも要即時対応

Microsoftは2026年5月のPatch Tuesday（月例セキュリティ更新）で、Azure Cloud Shellに存在するCVSSスコア最高値10.0の権限昇格脆弱性（CVE-2026-32169）を含む138件の新規CVEに対応した。いずれも公開時点での野良悪用は未確認だが、スコアの深刻さと攻撃対象の広さから、即時対応が求められる内容だ。

Azure Cloud Shellの最高危険度脆弱性（CVE-2026-32169）

CVSS 10.0は現行の評価体系で取り得る最大値であり、事実上「考え得る最悪の条件が揃っている」を意味する。Azure Cloud Shellはブラウザ経由でBashやPowerShellを直接操作できるマネージドサービスで、インフラ管理者やDevOpsエンジニアが日常的に利用する。この脆弱性は権限昇格（Elevation of Privilege）に分類される。

技術的な詳細は現時点で限定的な公開にとどまるが、CVSSの最大値が付与される条件としては「認証不要・ユーザー操作不要・ネットワーク越しに攻撃可能」の組み合わせが典型的だ。

実務対応: Azure Cloud Shellはマネージドサービスのため、ユーザー側での手動パッチ適用は不要。Microsoftがバックエンドを自動更新する。ただし、Azure Monitorを使って5月以前のCloud Shell利用ログを確認し、不審なコマンド実行がないか確認しておくことを推奨する。

特に注意すべき脆弱性

CVE-2026-41089：Windows Netlogon リモートコード実行（CVSS 9.8）—最優先パッチ

スタックベースのバッファオーバーフローを悪用し、ドメインコントローラーに特定のネットワークリクエストを送信するだけで認証不要・ユーザー操作不要のRCEが成立する。ZDIは本脆弱性を明示的に「ワーム化可能（wormable）」と評価しており、ドメインコントローラーが侵害された場合はドメイン全体の陥落を意味する。

Active Directoryを軸に動いている日本のエンタープライズにとって、これは最悪シナリオに直結する。テスト環境での確認を最短化してでも、展開を急ぐ価値がある。

CVE-2026-41096：Windows DNS Client リモートコード実行

ヒープベースのバッファオーバーフローを悪用し、悪意のあるDNSレスポンスによってWindowsマシン上でコードを実行できる。認証不要・ユーザー操作不要で、実質すべてのWindowsマシンが攻撃対象となりうる点が脅威だ。MitM（中間者攻撃）ポジション、または偽DNSサーバーを用意できる攻撃者が、企業内ネットワーク全体を標的にできる可能性がある。

Microsoft Dynamics 365（CVE-2026-42898）

ERP・CRM環境を運用している組織は個別にMicrosoftのセキュリティ情報を確認し、オンプレミス版の場合は特に手動適用が必要かを確認されたい。

今月の全体像：138件のCVE、30件がCritical

今月は138件の新規CVEを対象とし、30件がCritical、3件がModerate、1件がLow、残りがImportant評価だ。なお今月はちょうどPwn2Own Berlinの直前にあたり、ベンダーがイベント前にできる限り脆弱性を修正する慣行も件数増の一因と見られる。件数の多さはAIを活用した脆弱性発見の増加を反映している部分もある、と今回の調査を執筆したZDIは指摘している。

AdobeのMay 2026パッチ

Adobeは10件のセキュリティ情報で52件のCVEに対応した。優先度が高いのは以下の2件だ：

• Adobe Commerce（APSB26-49）：15件のCVE、最高CVSS 8.7、デプロイ優先度「2」（早急対応推奨）
• Adobe Connect（APSB26-50）：2件のCVEがいずれもCVSS 9台

その他After Effects、Illustrator、Premiere Pro等の主要クリエイティブツールも対象だが、いずれも野良悪用は未確認。

日本のエンジニア・IT管理者への実務ポイント

• Netlogonパッチ（CVE-2026-41089）を最優先に：ADドメインを運用している組織はこのパッチを即時展開する。「ワーム化可能」という評価を軽視しない
• Azure Cloud Shellのログ確認：マネージドサービスだが、Azure Monitorで5月以前の利用ログを確認し不審なアクティビティがないかを横展開で調査する
• DNS通信の監視強化：CVE-2026-41096対応として、EDR・NDRでDNSレスポンスへの異常検知設定を見直す
• WUFBやWSUSの配布スケジュール確認：今月は大規模リリースのため、配布遅延が生じていないか確認し必要に応じて即日展開設定に変更する
• Adobe製品の更新：デザイン・マーケティング部門が使用するAdobe製品も忘れずに更新する

筆者の見解

Azure Cloud ShellのCVSS 10.0という数字を見たとき、率直に驚いた。Azureポータルのあんなに身近な場所にそれほどの危険度の穴があったのか、という感覚だ。一方で、マネージドサービスであることはこういう場合にはっきりメリットが出る。自分でパッチを当てなくていい。Microsoftが迅速に対応してくれた点は素直に評価したい。

より気になるのはNetlogon（CVE-2026-41089）のほうだ。「ワーム化可能」とZDIが明言した脆弱性はそう多くない。日本のエンタープライズの多くはAD依存が強く、ドメインコントローラーへの無認証RCEは事業継続そのものを脅かす。パッチを当てれば解決するが、パッチ適用を後回しにする組織が必ず出てくる。それが心配なのだ。

DNS ClientとNetlogonの脆弱性はどちらも「内部ネットワークにいればそれだけで信頼される」という旧来の前提が崩れる類のものだ。VPN境界に頼ったセキュリティモデルでは一点突破で全滅しかねない。ネットワーク・認証・認可の3層防御とJust-In-Timeアクセスの実践を、この機会に組織内で改めて見直してほしい。月例パッチは毎月くる。それに対応し続けられる仕組みを持っているかどうか、今一度確認する価値がある。

出典: この記事は Critical Azure Cloud Shell Elevation-of-Privilege Vulnerability (CVE-2026-32169, CVSS 10.0) Fixed in May 2026 Patch Tuesday の内容をもとに、筆者の見解を加えて独自に執筆したものです。