Microsoftは2026年5月の月例セキュリティ更新(Patch Tuesday)において、20製品ファミリーに影響する132件のCVEを修正するパッチをリリースした。CVSS基本スコアが満点の10.0に達する脆弱性を含む29件がCritical(緊急)評価を受けており、アドバイザリを含めると今月の対処件数は300件近くに上る。

今月のパッチを数字で整理する

規模感を把握するために主要な数字をまとめておく。

項目 件数

CVE総数 132件

Critical(緊急) 29件

Important(重要) 103件

CVSS 8.0以上 43件

CVSS 10.0 1件

30日以内に悪用されると予測 13件

公開済みゼロデイ 0件

実際の悪用確認 0件

Patch Tuesday前に修正済み 14件

脆弱性の種別では特権昇格(EoP)が59件で全体の約45% を占め最多。次いでリモートコード実行(RCE)が31件で、RCEの中でも約半数がCritical評価を受けているのが今月の特徴だ。

最優先で確認すべき脆弱性

CVE-2026-41103:Microsoft SSO Plugin for Jira & Confluence 特権昇格(Critical / CVSS 9.0以上)

今月、Microsoftが「30日以内に悪用される可能性が高い」と判断した唯一のCritical脆弱性がこれだ。対象はMicrosoft製のConfluence向けSAML SSOプラグインおよびJira向けSAML SSOプラグイン

技術的な欠陥はCWE-303(認証アルゴリズムの誤った実装)に分類される。認証処理の実装ミスにより、攻撃者はバイパス経路を使って正規ユーザーとしてログインできてしまう。SSOという性質上、一度突破されると連携先システム全体への横断が容易になる点が深刻だ。

ConfluenceとJiraは国内でも広く使われているプロジェクト管理・ナレッジ共有ツールであり、Microsoft Entra IDと連携させている環境ではこのプラグインの更新を最優先に実施すること

CVSS 10.0の脆弱性

今月はCVSS基本スコアが満点10.0という脆弱性も存在する。これはPatch Tuesday前にすでに修正済みとして対処されたものの一つだが、スコア10.0は「認証不要・複雑な操作不要・影響範囲は完全なシステム制御」を意味する最高危険度評価だ。Patch Tuesday前のサイレント修正が行われているということは、MicrosoftがPoCや悪用の存在を把握している可能性もある。自環境への適用状況を確認する価値は十分にある。

アドバイザリ145件という別の負荷

今月はパッチ本体の132件に加えて145件のアドバイザリも発行されている。多くはMicrosoft Edgeが取り込んでいるChromeプロジェクト由来のもので、Patch Tuesday数日前に先行修正済みだ。加えてAdobe Commerceに影響する13件のアドバイザリ(Adobe発行)も含まれており、Eコマース系の基盤を持つ組織は範囲が広がる点に留意が必要だ。

日本のエンジニア・IT管理者への実務ポイント

今週中に確認すること:

  • Jira/Confluence環境のSSOプラグイン版数確認:Microsoft製SAMLプラグインを使用している場合は即座にアップデートを計画する。内部Wikiがそのまま侵害入口になりかねない
  • CVSS 8.0以上の43件を第一優先に絞る:132件を全て同列で追うのは現実的でない。スコアと影響製品でトリアージし、EoP × Critical の組み合わせから着手する
  • 先行修正済み14件の適用確認:CVSS 10.0のものを含む。WindowsUpdateの自動適用タイミングによっては未適用の環境が存在する可能性がある
  • Windows Server担当者はAppendix確認:Windows Server専用の66件のCVEリストが別途まとめられており、AMD由来のアドバイザリも含まれている

パッチ適用タイミングの判断:

今月は公開済みゼロデイなし・実際の悪用確認なしという状況なので、重要な本番環境では検証環境での動作確認を1〜2日挟む二段階アプローチが安全だ。ただしCVE-2026-41103については30日以内の悪用予測があるため、SSOプラグインに関しては検証と本番適用を極力近いタイミングで行いたい。

筆者の見解

今月の数字で目を引くのは特権昇格(EoP)の多さだ。2026年の累積EoP件数はすでに250件を超えており、昨年同期比でも増加傾向にある。攻撃者が「認証をかいくぐって内部に入り、権限を昇格させて動き回る」というシナリオを狙い続けているということを、この数字は如実に示している。

日本のエンタープライズ環境では、「ゼロトラスト移行中」と称しながら実態は旧来の境界防御と中途半端な条件付きアクセスが混在しているケースが少なくない。EoP脆弱性の多さに対抗するには、パッチ適用と同時に「侵入後の横断移動をいかに制限するか」という設計が欠かせない。最小権限原則とJust-In-Timeアクセス制御の整備は、もはやパッチ管理と並列で進めるべき必須事項だ。

もう一点、今月のJira/Confluenceプラグイン脆弱性はSaaSとIDプロバイダーの連携部分に潜むリスクを改めて浮き彫りにした。Microsoft Entra IDを中核に据えてSAML/OIDCで各SaaSを連携させる構成は標準的な推奨アーキテクチャだが、プラグイン層での実装バグ(CWE-303)が全体の認証基盤を無効化してしまうことを忘れてはならない。Non-Human Identities(NHI)の管理強化とあわせて、SAMLプラグインや連携設定の定期的なセキュリティレビューをプロセスに組み込む価値は高い。

Microsoftがこれだけの規模のパッチを毎月安定して提供し続けているという事実は、逆説的に「セキュリティ維持コストの大きさ」を示してもいる。この現実を直視した上で、パッチ管理・権限管理・モニタリングを一体化したセキュリティ運用体制への投資を先送りにしない判断が求められている。

出典: この記事は May’s Patch Tuesday hauls out 132 CVEs | SOPHOS の内容をもとに、筆者の見解を加えて独自に執筆したものです。