ニュース
Microsoft、2026年4月の「Windows Update」を実施 ~悪用が確認された脆弱性も
CVE番号ベースで163件の脆弱性を修正
2026年4月15日 08:50
米Microsoftは4月14日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで163件の脆弱性(サードパーティーのものも含めると247件)が新たに対処されている。
このうち、以下の2件はすでに悪用が確認されている。一刻も早い対応が必要だ。
- CVE-2026-32201:Microsoft SharePoint Server のなりすましの脆弱性(重要)
- CVE-2026-5281:Chromium: CVE-2026-5281 Dawn における解放後使用(High)
また、以下の脆弱性に関しては攻撃手法が明らかにされている。いずれセキュリティ攻撃に悪用される可能性があるため、できるだけ早い対処を心掛けたい。
- CVE-2026-33825:Microsoft Defender の特権の昇格の脆弱性
深刻度が最高の「Critical」(緊急)と評価された脆弱性は、以下の8件。「.NET Framework」や「Office」、リモートデスクトップ接続クライアントなどに影響する。
- CVE-2026-23666:.NET Framework のサービス拒否の脆弱性
- CVE-2026-32190:Microsoft Office のリモート コードが実行される脆弱性
- CVE-2026-33114:Microsoft Word のリモートでコードが実行される脆弱性
- CVE-2026-33115:Microsoft Word のリモートでコードが実行される脆弱性
- CVE-2026-32157:リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
- CVE-2026-33826:Windows Active Directory のリモートでコードが実行される脆弱性
- CVE-2026-33824:Windows インターネット キー交換 (IKE) サーバー拡張機能のリモートでコードが実行される脆弱性
- CVE-2026-33827:Windows TCP/IP のリモートでコードが実行される脆弱性
Windows 10/11およびWindows Server 2016/2019/2022
最大深刻度は「緊急」(リモートでコードが実行される)。
- Windows 11 バージョン 26H1:KB5083768
- Windows 11 バージョン 25H2:KB5083769
- Windows 11 バージョン 24H2:KB5083769
- Windows 11 バージョン 23H2:KB5082052
- Windows 10 バージョン 22H2:KB5082052
- Windows Server 2025:KB5082063
- Windows Server 2022:KB5082142
- Windows Server 2019:KB5082123
- Windows Server 2016:KB5082198
「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。
- プレビューパッチ「KB5079391」や、それに続けてリリースされた定例外パッチ「KB5086672」の内容
- Windows更新プログラムをインストールするコンポーネントである「サービス スタック」の品質改善
- 新しい「セキュア ブート」証明書を自動で受信できるデバイスを拡充。万が一不具合が発生してもその影響を最小限に抑えるため、このプロセスは段階的に行われ、更新成功のシグナルが十分に得られた場合に自動受信が実施される
- QUIC経由のSMB圧縮の信頼性を向上。タイムアウトを削減し、より一貫性のある、信頼性の高いパフォーマンスを実現
- リモート デスクトップ(.rdp)ファイルを利用したフィッシング攻撃に対する保護を強化
なお、「バージョン 25H2」のOSコアは「バージョン 24H2」と共通で、パッチの内容も同じだ。そのため、これらの改善は「バージョン 24H2」環境でも享受できる。
ただし、Home/Proエディションの「バージョン 24H2」はサービス終了まであと半年を切っている。そろそろ「バージョン 25H2」への移行を検討したい。
また、「Windows 10 バージョン 22H2」はすでに一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」(Extended Security Update:ESU)に登録しないとセキュリティパッチを受け取れない点には注意。
Microsoft Office関連のソフトウェア
「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。
「Office」と「Word」で、深刻度「Critical」と評価された脆弱性の修正が行われている点には注意。
Microsoft Edge
「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間4月11日にリリースされたv147.0.3912.60。
なお、WebGPU実装「Dawn」におけるゼロデイ脆弱性には注意。すでに攻撃が確認されており、できるだけ早い対応が必要だ。かならず「Edge」を最新バージョンに保っておきたい。
Microsoft Visual Studio
「Microsoft Visual Studio」では、4件の脆弱性が修正された。
- CVE-2026-32178(重要:なりすまし)
- CVE-2026-32203(重要:サービス拒否)
- CVE-2026-32631(重要:情報漏洩)
- CVE-2026-21637(警告:サービス拒否)
以下のバージョンでセキュリティアップデートが提供中。
- 「Microsoft Visual Studio 2022」v17.14
- 「Microsoft Visual Studio 2022」v17.12
- 「Microsoft Visual Studio 2019」v16.11
- 「Microsoft Visual Studio 2019」v16.4
- 「Microsoft Visual Studio 2017」v15.9
Microsoft SQL Server
「Microsoft SQL Server」関連では、3件の脆弱性が修正された。
- CVE-2026-32167(重要:特権の昇格)
- CVE-2026-32176(重要:特権の昇格)
- CVE-2026-33120(重要:リモートでコードが実行される)
Microsoft SharePoint
「Microsoft SharePoint」関連では、2件の脆弱性が修正されている。
- CVE-2026-20945(重要:なりすまし)
- CVE-2026-32201(重要:なりすまし)
Microsoft .NET Framework/.NET
「Microsoft .NET Framework 4.8」では、3件の脆弱性が修正された。
- CVE-2026-23666(緊急:サービス拒否)
- CVE-2026-32226(重要:サービス拒否)
- CVE-2026-33116(重要:サービス拒否)
「.NET 10.0」「.NET 9.0」「.NET 8.0」でも、以下の4件の脆弱性が修正されている。
- CVE-2026-26171(重要:サービス拒否)
- CVE-2026-32178(重要:なりすまし)
- CVE-2026-32203(重要:サービス拒否)
- CVE-2026-33116(重要:サービス拒否)
そのほかの製品
そのほかにも、以下の製品に対しセキュリティアップデートが提供中だ。括弧内は最大深刻度。
- Windows App Client for Windows Desktop:1件(緊急)
- Windows Admin Center:1件(重要)
- Remote Desktop client for Windows Desktop:1件(緊急)
- PowerShell 7.5:1件(重要)
- PowerShell 7.4:1件(重要)
- Microsoft Visual Studio Code CoPilot Chat Extension:1件(重要)
- Microsoft Power Apps:1件(重要)
- Microsoft HPC Pack 2019:1件(重要)
- Microsoft Dynamics 365:1件(重要)
- Microsoft Defender Antimalware Platform:1件(重要)
- Azure Monitor Agent:2件(重要)
- Azure Logic Apps:1件(重要)
