BeyondTrustは2026年4月21日、第13回年次「Microsoft脆弱性レポート」を公開しました。2025年に公開されたMicrosoftのセキュリティ情報を分析した同レポートは、脆弱性の総数は6%減少した一方でクリティカル(深刻)な脆弱性は前年比で倍増している事を指摘しています。
関連:NIST、NVD(国家脆弱性データベース)の運用を大幅変更-CVE申請が過去最多水準でリスクベーストリアージへ移行
目次
数字が示す「見せかけの改善」
2025年に報告されたMicrosoft製品の脆弱性総数は1,273件で、2024年の1,360件から6%減少しました。表面的には改善に見えますが、レポートはこの数字に惑わされないよう強く警告しています。
| 指標 | 2024年 | 2025年 | 変化 |
|---|---|---|---|
| 脆弱性総数 | 1,360件 | 1,273件 | ▼6% |
| クリティカル脆弱性数 | 78件 | 157件 | ▲101%(倍増) |
| 権限昇格(EoP)脆弱性 | — | 509件(全体の40%) | — |
| Azure・Dynamics 365 クリティカル | 4件 | 37件 | ▲9倍 |
| Microsoft Office 脆弱性総数 | 約50件 | 157件 | ▲3倍超 |
| Office クリティカル脆弱性 | — | — | ▲10倍 |
| Microsoft Edge 脆弱性 | 約300件 | 50件 | ▼83% |
BeyondTrustのField CTO、James Maude氏は次のように述べています。「脆弱性の総数が減ったことに惑わされてはいけません。クリティカルな脆弱性が倍増しました。これはリスクが減少しているのではなく、集中しているという警告です。そしてその集中は権限(privilege)の周辺で起きています。権限昇格が今年もすべての脆弱性の40%を占めているのは、それこそが攻撃者が重要なシステムへ到達するために必要なものだからです」
クラウドと業務系プラットフォームで深刻化するリスク
Azure・Dynamics 365:クリティカルが9倍に急増
AzureとDynamics 365は総脆弱性数こそ減少しているものの、クリティカルな脆弱性が4件から37件へと9倍に急増しています。
代表的な事例として報告書が挙げているのがCVE-2025-55241です。これはAzure Entra IDにおけるクラウドなりすまし(Cloud Impersonation)の脆弱性で、攻撃者がグローバル管理者(Global Administrator)になりすますことを可能にし、企業のクラウドインフラを保護する信頼境界を突破できる状態を生み出しました。
Microsoft Office:プレビューペインが新たな攻撃面に
Microsoft Officeの脆弱性は前年比3倍超の157件に急増し、そのうちクリティカルな脆弱性は10倍に増加しました。
BeyondTrustの調査チームPhantom Labsによれば、攻撃者はプレビューペイン(添付ファイルの内容を自動表示する機能)を悪用するケースが確認されています。ユーザーが添付ファイルをハイライト(選択)した瞬間に悪意あるコードが実行されるというもので、ファイルを開く操作さえ不要です。これはユーザーの行動への依存度が最も低い攻撃ベクターの一つであり、特に警戒が必要です。
Windows Server:780件、うち50件がクリティカル
Windows Serverの脆弱性は780件に増加し、そのうち50件がクリティカルに分類されています。
「非人間アイデンティティ(NHI)」という新しい攻撃面
レポートが新たに強調しているのが、**非人間アイデンティティ(Non-Human Identities:NHI)**への脅威です。NHIとは、モダンな業務ワークフローを支える自動化されたサービスアカウントやAIエージェントを指します。
BeyondTrustはこれらを「機械の中の幽霊(Ghost in the Machine)」と表現しています。NHIは一般的に高い権限を保持している一方で、多要素認証(MFA)などの従来のセキュリティ制御が適用されていないケースが多く、スパイ活動を目的とする攻撃者の主要なターゲットになっています。
AIエージェントの急増も状況を悪化させています。BeyondTrustの別の調査では、エンタープライズ環境内のAIエージェントが前年比466.7%増加していることが報告されており、「シャドーAI労働力」と呼ばれるセキュリティ管理の及ばない自動化エンティティが急拡大しています。
改善したもの:Edge・セキュリティ機能回避
すべての数字が悪化しているわけではありません。
Microsoft Edgeの脆弱性は約300件から50件へと83%減少しており、Microsoftがサンドボックスと分離技術に投資してきた成果が現れていると評価されています。また、セキュリティ機能回避(Security Feature Bypass)の脆弱性も36%減少しており、古いセキュリティ保護の強化が新しい攻撃手法への耐性を高めていることが示されています。
CVE数だけを追うことの限界
レポートが指摘するもう一つの重要なポイントが、CVEベースの脆弱性追跡の限界です。AI駆動のシステム・NHI・複雑なクラウドアーキテクチャが導入するリスクは、必ずしもCVEとしてカウントされないため、従来の脆弱性追跡が全体像を捉えられなくなっている可能性があります。
情報システム部門・セキュリティ担当者へのポイント
BeyondTrustのレポートが示す実務上の優先事項は以下の4点です。
パッチ適用を加速しつつ、侵害前提で運用する
2026年の最初のPatch Tuesdayだけで114件の修正が提供され、うち3件は実際に悪用が確認されているゼロデイでした。パッチ適用の速度を上げながらも、攻撃者がすでにネットワーク内にいる前提で振る舞い分析を実装することが求められます。
最小権限原則の徹底でブラストラジウスを縮小する
全脆弱性の40%が権限昇格(EoP)であるという事実は、管理者権限の削除が単一で最も費用対効果の高いセキュリティ投資であることを示しています。権限への経路がなければ、エクスプロイトは行き止まりになります。
非人間アイデンティティにも人間と同じゼロトラスト原則を適用する
AIエージェント・サービスアカウント・マシン認証情報に対して、人間のアイデンティティと同等のセキュリティ制御(最小権限・MFA・定期ローテーション)を適用してください。
個別の脆弱性ではなく「権限への経路」を管理する
CVEを個別に修正するのではなく、過剰権限のクラウドアイデンティティのような攻撃者が横展開に利用する共通経路を特定・縮小する視点に転換することが推奨されます。
参考情報
- 【一次ソース】BeyondTrust’s 13th Annual Microsoft Vulnerabilities Report Reveals Drop in Total Volume, But Surge in Critical Risk(GlobeNewswire、2026年4月21日)
- 【レポート全文】2026 Microsoft Vulnerabilities Report(BeyondTrust公式)
関連記事
Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)
Azure ネットワーク サービスタグで脆弱性が発生 悪用の可能性
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Microsoft Office(マイクロソフト オフィス) 2016/2019がサポート終了に到達 いま取るべき対応と移行先まとめ
Microsoft Azureの多要素認証(MFA)必須化、2025年10月から段階的に開始
Microsoft、1月のアップデート 後不具合やOfficeへのゼロデイ脆弱性を修正(CVE-2026-21509)
Windowsのエラー報告サービスに深刻な欠陥、低権限ユーザーが SYSTEM 権限を奪取できる脆弱性(CVE-2026-20817)
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)
