Microsoft、定例パッチで危険な脆弱性を修正(CVE-2026-41089・CVE-2026-41096・CVE-2026-41103)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、定例パッチで危険な脆弱性を修正(CVE-2026-41089・CVE-2026-41096・CVE-2026-41103)

Microsoftは2026年5月の月例セキュリティ更新で、137件の脆弱性を修正しました。公開時点で悪用確認済みの脆弱性は含まれていませんが、企業環境では早急に優先順位を付けて対応すべき内容です。

今回、特に危険度が高いものは、Windows Netlogonのリモートコード実行脆弱性であるCVE-2026-41089、Windows DNS Clientのリモートコード実行脆弱性であるCVE-2026-41096、Microsoft SSO Plugin for Jira & Confluenceの権限昇格脆弱性であるCVE-2026-41103、Microsoft Wordのリモートコード実行脆弱性であるCVE-2026-40361とCVE-2026-40364です。

加えて、Microsoftの日本語公式情報では、CVE-2026-42898、CVE-2026-42823、CVE-2026-41096、CVE-2026-41089について、CVSS基本値が9.8以上で、認証やユーザー操作なしに悪用可能な脆弱性として注意喚起されています。今回の更新は、単なる端末向けWindows Updateではなく、ドメインコントローラー、DNS通信、SSO連携、Office文書、Azure、Dynamics 365を横断して確認すべき内容です。

関連:AIを悪用したサイバー攻撃が急増、企業がとるべき具体的な対策【2026年最新】

最優先で確認すべきCVE-2026-41089、Windows Netlogonのリモートコード実行脆弱性

今回の更新で最も優先度を上げるべき脆弱性の一つが、CVE-2026-41089です。これはWindows Netlogonに存在するリモートコード実行脆弱性で、CVSS基本値は9.8とされています。

Netlogonは、Windowsドメイン環境における認証処理に関係する重要なサービスです。この脆弱性は、細工されたネットワークリクエストをドメインコントローラーに送信することで悪用される可能性があると説明されています。認証なし、ユーザー操作なしで悪用可能な条件が示されているため、ドメインコントローラーを運用している組織では最優先で対応すべきです。

ドメインコントローラーが侵害された場合、単一サーバの被害では済みません。Active Directoryの認証基盤、端末管理、グループポリシー、管理者権限、ファイルサーバや業務システムへのアクセス制御に影響が広がります。攻撃者がドメインコントローラー上でコードを実行できる状況は、実質的に社内Windows環境全体の制御に近づく状態です。

Microsoftはこの脆弱性について、公開時点で悪用確認済みとはしていません。

しかし、悪用確認がないことと危険度が低いことは別です。ドメインコントローラーに関わるリモートコード実行である以上、検証を終えた環境から早急に更新を適用する必要があります。

また同時期にゼロデイへのパッチも適用されているので併せて、ご確認ください。

関連:Microsoft、ゼロデイ 脆弱性のRedSun(CVE-2026-41091)とUnDefend(CVE-2026-45498)の緊急パッチを公開・YellowKey(CVE-2026-45585)は「緩和策のみ」

CVE-2026-41096、Windows DNS Clientのリモートコード実行脆弱性

CVE-2026-41096は、Windows DNS Clientに存在するリモートコード実行脆弱性です。CVSS基本値は9.8とされ、ヒープベースのバッファオーバーフローに起因すると説明されています。

DNS Clientは、Windows端末やサーバが名前解決を行う際に使う基本機能です。業務端末、サーバ、仮想デスクトップ、管理端末など、ほぼすべてのWindows環境がDNS通信を行います。そのため、DNS Clientの脆弱性は影響範囲の広さが問題になります。

この種の脆弱性では、攻撃者が細工したDNS応答を返すことで、対象端末側の処理を悪用する可能性があります。実際の悪用にはネットワーク上の位置取りやDNS応答を制御できる条件が必要になる場合がありますが、端末側が日常的に行う通信経路に関係するため、軽視すべきではありません。

特に注意が必要なのは、外出先ネットワーク、拠点ネットワーク、VPN接続端末、分離が不十分な社内ネットワークです。DNSは多くの通信の前段にあるため、悪用された場合は初期侵入や横展開の足場になる可能性があります。

関連:2026年5月 最新サイバー攻撃の被害 事例 まとめ

CVE-2026-41103、Microsoft SSO Plugin for Jira & Confluenceの権限昇格脆弱性

CVE-2026-41103は、Microsoft SSO Plugin for Jira & Confluenceに存在する権限昇格脆弱性です。認証アルゴリズムの実装不備により、認可されていない攻撃者がネットワーク経由で権限を昇格できる可能性があると説明されています。CVSS基本値は9.1で、Microsoftの評価では悪用される可能性が高い脆弱性として扱われています。

この脆弱性が危険なのは、対象が認証連携部分である点です。JiraやConfluenceは、開発部門、インフラ運用部門、情シス部門、プロジェクト管理部門でよく利用されます。そこには設計情報、障害対応履歴、認証情報に近い運用メモ、内部システムの構成情報、委託先とのやり取りなど、攻撃者にとって価値の高い情報が残りがちです。

SSOの不備を悪用されると、ログイン操作そのものが正規の認証に見える可能性があります。つまり、単純なマルウェア検知や外部攻撃の遮断だけでは見落とすおそれがあります。IdP側のログ、JiraやConfluence側のログ、管理者権限の利用履歴、APIトークン作成、プロジェクト権限変更、大量閲覧などを突き合わせて確認する必要があります。

オンプレミスや自社管理のJira、Confluenceを運用している組織では、Microsoft SSO Pluginの利用有無を早急に確認してください。開発部門が独自に導入しているケースもあるため、通常の業務システム台帳だけでは把握できない場合があります。

CVE-2026-40361とCVE-2026-40364、Microsoft Wordのリモートコード実行脆弱性

Microsoft Wordの脆弱性では、CVE-2026-40361とCVE-2026-40364が特に注意対象です。いずれもリモートコード実行につながる脆弱性で、CVSS基本値は8.4とされています。CVE-2026-40361はUse After Free、CVE-2026-40364は型の取り違えに関係する問題として説明されています。

Wordの脆弱性が危険なのは、攻撃経路が現実的であるためです。攻撃者は、請求書、契約書、見積書、採用資料、取引先からの通知を装った文書ファイルをメールやチャット、ファイル共有で送付できます。一般利用者が日常業務で開くファイル形式に紛れ込ませやすく、標的型攻撃でもばらまき型攻撃でも使われやすい領域です。

さらに注意すべき点として、SecurityWeekは、対象者が文書を明示的に開かなくても、プレビューウィンドウで表示するだけで悪用が成立する可能性があるとの専門家コメントを紹介しています。ユーザーに対して、不審な添付ファイルを開かないよう周知することは必要ですが、それだけでは不十分です。Officeの更新適用が最も確実な対策になります。

Microsoft 365 Apps、Office LTSC、共有PC、VDI、RDS環境、キッティング直後の端末など、Office更新が遅れやすい環境を優先して確認してください。特にOutlookとWordを組み合わせて日常的に利用している端末では、更新未適用のまま放置しないことが重要です。

CVE-2026-42898とCVE-2026-42823も高リスク

Microsoftの日本語公式情報では、CVE-2026-42898とCVE-2026-42823も、CVSS基本値が9.8以上で、認証やユーザー操作なしで悪用可能な脆弱性として挙げられています。

CVE-2026-42898は、Microsoft Dynamics 365オンプレミスに関係するリモートコード実行脆弱性です。オンプレミス版を運用している企業では、通常のWindows Updateだけではなく、アプリケーション側の更新手順や依存コンポーネントの確認が必要です。Dynamics 365は営業、顧客管理、業務プロセスに関係する情報を扱うため、侵害時の影響は業務データそのものに及びます。

CVE-2026-42823は、Azure Logic Appsに関係する権限昇格脆弱性です。Logic Appsは外部サービスや社内システムとの連携、自動処理、通知、データ連携に利用されることがあります。クラウド側のサービスで修正される場合でも、利用者側ではワークフロー、接続情報、管理権限、実行履歴、外部公開範囲を確認する必要があります。

クラウドサービスの脆弱性では、自社にパッチ適用作業がないため、対応済みと誤認しがちです。しかし、侵害された場合に悪用される接続設定や権限は、利用者側の設計に依存します。Azure環境では、更新情報の確認に加え、権限設定と監査ログの確認を実施すべきです。

情報システム部門への影響

今回の更新は、Windows Updateを配布すれば終わる内容ではありません。危険な脆弱性が、ドメイン認証、名前解決、SSO連携、Office文書、オンプレミス業務システム、クラウド連携に分散しています。

最も優先すべき対象は、ドメインコントローラーです。CVE-2026-41089は、Windowsドメイン環境の根幹に関わります。ドメインコントローラーは業務影響を理由に更新が後回しになりがちですが、侵害時の被害規模を考えると、検証と適用の優先順位を上げる必要があります。

次に、一般利用者端末とOffice環境を確認してください。Wordの脆弱性は、メールを起点に攻撃される可能性があります。標的型メール対策、添付ファイル対策、EDRだけに頼らず、更新適用率を可視化することが重要です。

JiraやConfluenceを利用している組織では、Microsoft SSO Pluginの有無を確認してください。開発部門や情シス部門が独自に管理している環境は、全社のパッチ管理から漏れやすい傾向があります。認証連携部分の脆弱性は、侵害後に内部情報の探索や横展開へつながりやすいため、部門単位の確認が必要です。

優先して実施すべき対応

まず、CVE-2026-41089を念頭に、ドメインコントローラーへ2026年5月のセキュリティ更新を適用する計画を優先してください。検証環境で認証、グループポリシー、業務アプリケーション連携への影響を確認し、本番環境へ速やかに展開する必要があります。

次に、CVE-2026-41096への対応として、Windows端末とサーバの更新状況を確認してください。DNS Clientは広範なWindows環境に関係するため、一部の端末だけ未更新でも侵入口になり得ます。Intune、WSUS、Microsoft Configuration Manager、EDRの資産情報を突き合わせ、未適用端末を抽出してください。

CVE-2026-41103については、JiraおよびConfluenceのSSO構成を確認してください。Microsoft SSO Pluginを利用している場合、プラグインの更新、認証設定、管理者アカウント、外部公開範囲、IdPログ、アプリケーションログを確認する必要があります。

CVE-2026-40361とCVE-2026-40364については、Office更新を優先してください。特にOutlookのプレビュー、添付ファイル、ファイル共有からWord文書を扱う端末は早急に更新対象とすべきです。ユーザーへの注意喚起だけではなく、更新が完了しているかを管理側で確認することが重要です。

CVE-2026-42898とCVE-2026-42823については、Dynamics 365オンプレミスとAzure Logic Appsの利用有無を確認してください。該当環境を利用している場合は、Microsoftの手順に沿った更新やサービス側対応状況の確認に加え、接続情報、権限、ワークフロー、監査ログの見直しを行うべきです。

監視で確認すべきポイント

パッチ適用と並行して、侵害の兆候がないかを確認してください。

ドメインコントローラーでは、Netlogon関連の異常、認証失敗の急増、不自然な管理者ログオン、グループポリシー変更、新規サービス作成、管理共有へのアクセスを確認する必要があります。ドメイン管理者権限に近い操作が行われていないかを重点的に確認してください。

DNS関連では、通常とは異なるDNSサーバへの問い合わせ、不審なドメインへの大量問い合わせ、端末からの異常な名前解決、VPN利用時のDNS経路変更を確認してください。DNSは通信の前段にあるため、異常が小さく見えても侵害の前兆になる場合があります。

Office環境では、WordやOutlookの子プロセスとしてPowerShell、cmd、wscript、mshta、rundll32などが起動していないかを確認してください。メール添付ファイルやダウンロードフォルダから起動したWord文書を起点に、不自然なプロセスが実行されている場合は調査対象です。

JiraやConfluenceでは、通常と異なるIPアドレスからのログイン、短時間の大量アクセス、管理権限の変更、APIトークンの作成、ページや添付ファイルの大量閲覧を確認してください。SSO連携の悪用は、表面的には正規ログインに見える可能性があるため、IdP側とアプリケーション側のログを突き合わせる必要があります。

まとめ

2026年5月のMicrosoft月例更新では、137件の脆弱性が修正されました。公開時点で悪用確認済みの脆弱性はありませんが、CVE-2026-41089、CVE-2026-41096、CVE-2026-41103、CVE-2026-40361、CVE-2026-40364は、企業環境で優先して対応すべき危険な脆弱性です。

特にCVE-2026-41089はドメインコントローラーに関係し、CVE-2026-41096はWindows端末やサーバの名前解決に関係します。CVE-2026-41103はJiraやConfluenceの認証連携、CVE-2026-40361とCVE-2026-40364はOffice文書を起点とした攻撃に関係します。

情報システム部門では、Windows Updateの適用だけでなく、ドメインコントローラー、Office、Jira・Confluence、Dynamics 365オンプレミス、Azure Logic Appsを横断して確認してください。今回の更新は、件数の多さよりも、攻撃者が狙いやすい基盤部分に危険な脆弱性が含まれている点を重視すべきです。

出典

Microsoft Japan Security Team:2026年5月のセキュリティ更新プログラム