Microsoftの2026年5月のパッチ火曜日リリースには、137のMicrosoftのCVEと128の再公開された非Microsoftの脆弱性が含まれており、ITチームに広範なパッチ作業が求められます。
今月、Microsoftは実際に悪用されていることを確認していませんが、いくつかの重大な脆弱性と「悪用の可能性が高い」とされた13の問題が、近い将来の攻撃のリスクを高めています。
分散型エンドポイント、クラウド接続サービス、リモートアクセスコンポーネント、コラボレーションプラットフォームを管理する組織向けに、今月の更新では迅速な検証とリスクベースのパッチ優先順位付けが求められています。
2026年5月のMicrosoftパッチの概要
今月のPatch Tuesdayのリリースは、クラウドインフラストラクチャ、コラボレーションプラットフォーム、Windowsネットワーキングコンポーネント、開発者ツール、エンタープライズIDシステムにわたります。主なテーマは、クラウド接続された企業環境と重要なWindowsインフラストラクチャにおける脆弱性の集中です。
影響を受けた主な領域は次のとおりです。
エリア | 影響を受ける製品とコンポーネント |
Windowsインフラストラクチャとネットワーキング | Netlogon、DNS、Hyper-V、TCP/IP、リモートデスクトップ、WinSock、Windowsカーネル |
Microsoft 365 コラボレーションワークロード | Teams、SharePoint、Office Word、Excel、PowerPoint、Copilot関連サービス |
Azure サービス | Azure DevOps、Azure Logic Apps、Azure Cloud Shell、Azure SDK、Azure Machine Learning、Azure Entra ID |
IDと認証 | Microsoft SSOプラグイン for Jira & Confluence、Windows認証サービス |
開発者と管理者ツール | SQL Server、ASP.NET Core、Visual Studio Code、GitHub Copilot、Windows Admin Center |
ITチームにとって、リスクは単一の製品ファミリに限定されていません。それは優先順位の付けが特に重要になる理由です。組織は従来のWindowsパッチ適用とクラウド接続サービス全体のリスク管理の両方を考慮する必要があるのです。
最も緊急に見直すべきは、認証、ネットワーキング、リモートアクセス、cloud管理をサポートするシステムに焦点を当てるべきです。これらのコンポーネントは、しばしば企業全体に広がるため、開示後に攻撃者が信頼性の高いエクスプロイトを開発した場合には、より高い影響を与えるターゲットとなります。
ゼロデイおよびエクスプロイトの可能性が高い脆弱性
Microsoftは今月のPatch Tuesdayリリースで、実際に積極的に悪用されている脆弱性を確認していません。しかし、2026年5月には、依然としていくつかの脆弱性があり、Microsoftが「悪用される可能性が高い」としてマークしているため、緊急の対応が求められます。
その指定は、Microsoftがこれらの脆弱性は公開後に悪用される可能性が高いと考えていることを意味します。今月は、13の脆弱性がそのカテゴリに該当します。
CVE | 影響を受けるコンポーネント |
CVE-2026-33835 | Windows Cloud Files Mini Filter Driver |
CVE-2026-33837 | Windows TCP/IP |
CVE-2026-33840 | Windows Win32K - ICOMP |
CVE-2026-35417 | Windows Win32K - ICOMP |
CVE-2026-33841 | Windowsカーネル |
CVE-2026-40369 | Windowsカーネル |
CVE-2026-35416 | Windowsについての補助機能ドライバー for WinSock |
CVE-2026-35435 | Azure AI Foundry M365 published agents |
CVE-2026-40361 | Microsoft Office Word |
CVE-2026-40364 | Microsoft Office Word |
CVE-2026-40397 | Windows 共通ログファイルシステムドライバー |
CVE-2026-40398 | Windowsリモートデスクトップ |
CVE-2026-41103 | Jira & Confluence用のMicrosoft SSOプラグイン |
確認された悪用がない場合でも、近い将来のツール化のリスクが高いため、パッチ適用の優先順位を上げるべきです。
2026年5月の重大な脆弱性
2026年5月リリースのいくつかの脆弱性には、重大またはほぼ重大な深刻度の評価があり、Azure、Windowsインフラストラクチャ、IDシステム、コラボレーションツール、仮想化環境などの企業向けサービスに影響を及ぼします。
CVE | 影響を受けた製品またはコンポーネント | CVSS | なぜそれが重要なのか |
CVE-2026-42826 | Azure DevOps | 10.0 | 開発者のワークフローとクラウド接続された開発環境に影響を及ぼす、最も重大な脆弱性。 |
CVE-2026-33109 | Apache Cassandra 向け Azure マネージド インスタンス | 9.9 | 管理されたクラウドデータベースインフラストラクチャを使用する組織にとっての重大な問題。 |
CVE-2026-42823 | Azure Logic Apps | 9.9 | クラウドの自動化とワークフローオーケストレーションに影響し、ビジネスクリティカルなシステムに深く接続されることがあります。 |
CVE-2026-41089 | Windows Netlogon | 9.8 | ドメイン環境で使用されるコアWindows認証コンポーネントに影響を与えます。 |
CVE-2026-41096 | Microsoft Windows DNS | 9.8 | Windows環境全体で広く使用されている基本的なネットワークサービスに影響を及ぼします。 |
CVE-2026-33823 | Microsoft Teams | 9.6 | 幅広いユーザーや部門にTeamsを展開している組織に関連します。 |
CVE-2026-35428 | Azure Cloud Shell | 9.6 | Azure環境を管理するために使用されるクラウド管理ワークフローに影響を与えます。 |
CVE-2026-40379 | Azure Entra ID | 9.3 | エンタープライズのアイデンティティインフラストラクチャに影響を与え、高優先度のレビュー項目になります。 |
CVE-2026-40402 | Windows Hyper-V | 9.3 | サーバー、開発者システム、またはホストされているワークロードで仮想化を使用している組織にとって重要です。 |
これらの脆弱性は、広範なアクセス、ビジネスへの大きな影響、または特権管理者の役割を持つシステムに影響を及ぼすため、注意深く監視される必要があります。Azure DevOps、Azure Logic Apps、Azure Cloud Shell、およびAzure Entra IDは、クラウドインフラストラクチャとアイデンティティ環境を管理するチームによって迅速にレビューされるべきです。Windows Netlogon、DNS、Hyper-V、TCP/IP、およびリモートデスクトップの脆弱性は、ドメイン接続されたシステム、サーバー、および重要なインフラストラクチャ全体で優先度が高く設定されるべきです。
組織は、SQL Server、SharePoint、Office、ASP.NET Core、Windows ネットワーク サービス、開発者ツールを通じた関連リスクも確認する必要があります。脆弱性が積極的に悪用されていないと確認された場合でも、重大な深刻度と企業の暴露が組み合わさると、安全な修正のための短い時間枠を作り出す可能性があります。
2026年5月のパッチを優先する方法
137件のMicrosoftのCVEと多数の再公開された非Microsoftの脆弱性に対して、ITチームはすべての更新を同等に扱うのではなく、リスクベースのアプローチを採用すべきです。優先順位は、高い露出度、重大な深刻度、アイデンティティまたはネットワークへの影響、そしてMicrosoftが「悪用の可能性が高い」とマークした脆弱性を持つシステムであるべきです。
1. 72時間以内にパッチを適用する
組織は重要なインフラストラクチャ、クラウド管理、アイデンティティサービス、リモートアクセスワークフローに影響を与える脆弱性を優先するべきです。これには以下が含まれます:
Azure DevOps、Azure Logic Apps、Azure Cloud Shell、およびAzure SDKの脆弱性
WindowsのNetlogon、DNS、Hyper-V、TCP/IP、およびリモートデスクトップの脆弱性
「Exploitation More Likely」とマークされた脆弱性
Teams、SharePoint、Office、およびコラボレーション関連の脆弱性
リモートデスクトップとWindowsネットワーク関連の脆弱性
インターネット対応のシステムと広くアクセス可能なサービス
ドメインコントローラー、DNSインフラストラクチャ、アイデンティティシステム、クラウド管理環境
これらのシステムは、企業環境全体で高い影響を与えるリスクを生む可能性があるため、できるだけ迅速に検証と設定を通過する必要があります。
2. 1から2週間以内にパッチ適用
最高リスクのシステムが対処された後、組織は広範なエンドポイントカバレッジまたは重要な運用上の影響を持つシステムにパッチを適用すべきです。これには以下が含まれます:
SQL Server および ASP.NET Core の脆弱性
Windows Kernel、WinSock、ファイルシステム関連のコンポーネント
Office Word、Excel、およびPowerPointの脆弱性
Azure管理、監視、およびアイデンティティ関連サービス
GitHub Copilot、Visual Studio Code、Windows Admin Centerを含む開発者および管理ツール
これらの更新はすべて緊急の設定を必要とするわけではありませんが、影響を受ける製品が広く使用されているか、センシティブなワークフローに接続されている場合、フルパッチサイクルの延期は避けるべきです。
3. 定期的なパッチサイクル
影響を受けたシステムが限定された露出や補償コントロール、より狭い悪用経路を持っている場合、低優先度の更新は標準の設定タイムラインに従うことができます。これには、低度のWindowsサービスの問題、ローカルアクセスを必要とする脆弱性、またはインターネットに面していない、または広くアクセスできないシステムが含まれる場合があります。
優先順位の低いパッチも完了まで追跡する必要があります。5月のリリースは、幅広いエンドポイント、クラウド、アイデンティティ、開発者環境に影響を与えるため、チームがソフトウェアとシステムの全インベントリを見渡す可視性を維持しない場合、パッチの遅延は盲点を生む可能性があります。
注目すべきサードパーティの更新
今月、Microsoftは、Microsoftの脆弱性のコアに加えて、128件の非Microsoft CVEを再発行し、修正作業に別の層を追加しました。これらの再公開された問題には、ChromiumベースのMicrosoft Edgeの脆弱性、Node.js関連の問題、Git for Windowsの脆弱性、およびその他のサードパーティ依存関係の更新が含まれます。
ほとんどの組織にとって、優先事項は一般的に使用されるブラウザ、開発ツール、オープンソースコンポーネント全体の露出を見直すことです。ブラウザの脆弱性は、広範なユーザーベースに影響を及ぼす可能性があるため特に重要です。一方、開発者の依存関係は、ビルドシステム、管理者のワークフロー、クラウド接続された環境にリスクをもたらす可能性があります。
ITチームは次のことに集中するべきです。
ブラウザの露出、特にMicrosoft Edge
開発者向けツールと依存関係
Windows用Gitの設定
Node.js関連のコンポーネント
クラウド接続サードパーティ統合
Chromiumベースまたはオープンソースのコンポーネントを使用するシステム
今月のリリースは、サードパーティのパッチ適用がオペレーティングシステムの更新と同じ脆弱性管理ワークフローの一部であるべき理由を強調しています。Patch Tuesday において Microsoft の CVE が最も注目されることがあっても、ブラウザ、開発者ツール、ソフトウェアの依存関係が個別にパッチされ、手動で追跡されたり、日常的なエンドポイント管理から除外されたりする場合、重要な露出を生む可能性があります。
Splashtop AEM がどのように役立つか
5月のパッチ・チューズデーのリリースは、ITチームにとって多くの優先順位付けを必要とします。Splashtop AEM は、チームが露出から修復までの移行を迅速にします。
リスクを迅速に特定: エンドポイントの脆弱性、パッチの状態、ハードウェア、ソフトウェアインベントリを集中管理して可視化し、どのデバイスに優先的に対応が必要かチームで確認できます。
重要な更新を優先: CVEインサイトとエンドポイントレベルのコンテキストを使用して、高リスクの問題に集中します。クリティカルな脆弱性や“悪用の可能性が高い”とされるものが含まれます。
より早くパッチを適用する: リアルタイムでの更新の設定、パッチポリシーの自動化、成功または失敗の監視、および分散されたエンドポイントを安全に保つために必要な手作業の削減。
既存のワークフローを強化: Splashtop AEMは、手動でパッチを当てたり、Microsoft Intuneを使ったり、RMMに依存するチームに対して、より迅速な修正、優れた可視性、効率化されたエンドポイント管理を提供します。
パッチ火曜日が重要なサービスに影響を与えるとき、スピードと可視性が重要です。Splashtop AEMは、ITチームに迅速に対応し、エンドポイントを保護するためのツールを提供します。
Splashtop AEMを無料で試してみてください
2026年5月のようなPatch Tuesdayリリースは、ITチームにリスクを特定し、更新を設定し、すべてのエンドポイントでの修正を確認するための限られた時間を与えます。
Splashtop AEMでできること:
脆弱なエンドポイントを検出
重要なCVEを優先する
パッチ設定を自動化
パッチの成功と失敗を監視
分散環境全体でセキュリティを強化する
Splashtop AEMの無料体験を開始して、リアルタイムのパッチ適用、CVEの可視性、自動化、エンドポイント管理ツールを利用しましょう。これにより、重要な脆弱性が開示された際にチームの対応をより迅速に行えます。
