Microsoft、5月のセキュリティ更新を公開 認証不要の深刻な脆弱性4件に警戒：セキュリティニュースアラート

Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。

[ITmedia エンタープライズ編集部，ITmedia]

　Microsoftは2026年5月12日（現地時間）、同社製品に影響する複数の脆弱（ぜいじゃく）性へ対処する2026年5月分のセキュリティ更新プログラムを公開した。

　「Windows」「Windows Server」「Microsoft Office」（以下、Office）、「Microsoft SharePoint」（以下、SharePoint）、「Microsoft Azure」「Microsoft Dynamics 365」「Microsoft SQL Server」（以下、SQL Server）など幅広い製品群が対象となる。CVSS9.8以上の深刻な脆弱性が4件が含まれ、企業や組織へ早急なリスク評価と更新適用を求めた。

認証不要の重大脆弱性4件、企業システムに高リスク

　今回のアップデートには、認証不要かつユーザー操作なしで悪用可能な脆弱性への修正が含まれており、警戒が呼びかけられている。該当する脆弱性は、Microsoft Dynamics 365オンプレミス版のリモートコード実行、「Azure Logic Apps」の特権昇格、「Windows DNSクライアント」のリモートコード実行、「Windows Netlogon」のリモートコード実行の4件だ。いずれも攻撃成功時の影響範囲が大きく、ネットワークを介してシステム全体の侵害へと発展するリスクが極めて高い。

　Microsoftの発表によると、これら4件の脆弱性について、更新プログラムの公開時点では悪用の事実や情報流出は確認されていないという。ただし、脆弱性の性質上、攻撃コード作成の難易度が低下する可能性がある。DNSクライアントやNetlogonはWindows環境の中核的な機能であり、「Active Directory」を利用する企業においては、認証基盤そのものが侵害されるリスクも否定できない。そのため、サーバ管理者や情報システム部門には、早期の検証と迅速な更新適用計画の策定が強く求められる。

　更新対象製品は多岐に及ぶ。「Windows 11」のv26H1、v25H2、v24H2、v23H2に加え、Windows Server 2025、2022、2019、2016も「緊急」レベルの適用対象となっている。Office、SharePoint、Visual Studio、SQL Serverなど業務で利用率の高い製品も含まれており、企業ネットワーク全体に広範な影響を及ぼす大規模な月例セキュリティ更新となった。

業務を狙う攻撃に警戒、各製品の脆弱性詳細

　Windows系製品では「リモートでコードの実行が可能」と分類された更新が中心を占めた。攻撃者が細工済みパケットや不正データを送信した場合、対象端末で任意コード実行に至る危険がある。OfficeやSharePointでも同種の欠陥が修正されており、メール添付や文書共有基盤を悪用した侵害拡大への警戒が必要となる。

　Azure関連では特権昇格脆弱性が修正された。クラウド環境で権限管理へ問題が生じた場合、管理権限取得や横展開攻撃へつながる恐れがある。クラウド利用企業において、仮想マシンやアプリケーション更新のみではなく、Azureサービス側の修正適用状況の確認も欠かせない。

　Dynamics 365オンプレミス版の脆弱性も注目を集める。顧客情報や営業支援データを扱う基幹システムであり、侵害時には情報漏えいのみならず業務停止へ直結する危険がある。外部公開サーバで運用中の組織において、ネットワーク制限や監視強化を含めた緊急対応が必要となる可能性が高い。

　Microsoftは、既知の問題について各更新プログラムのサポート技術情報を参照するよう案内している。2026年5月のリリースノートには、問題確認済み更新一覧も掲載された。適用後の不具合発生を避ける観点から、事前検証環境での確認やバックアップ取得も重要となる。