人工知能プラットフォームは、人間と同じようにソーシャルエンジニアリングの影響を受けやすいかもしれませんが、人間が作成したコンピュータコード内のセキュリティ脆弱性を発見することに関しては、驚くほど優れていることが証明されています。この現実は、今月、Apple、Google、Microsoft、Mozilla、Oracleといった広く利用されているソフトウェアメーカーのいくつかが、ほぼ記録的な量のセキュリティバグを修正し、パッチリリースのペースを速めていることで、全面的に示されています。 ### Microsoftのパッチチューズデー 毎月第2火曜日に実施されるように、Microsoftは本日、様々なWindowsオペレーティングシステムおよびその他の製品における少なくとも118件のセキュリティ脆弱性に対応するためのソフトウェアアップデートをリリースしました。驚くべきことに、Microsoftがすでに悪用されている緊急のゼロデイ脆弱性に対処するための修正をリリースするのは、約2年ぶりのパッチチューズデーとなります。また、本日修正された脆弱性のいずれも、以前に開示されたものではありません（攻撃者に脆弱性を悪用する方法についての事前情報を提供する可能性があります）。 脆弱性のうち16件は、Microsoftの最も深刻な「クリティカル」ラベルを獲得しており、これはマルウェアや悪意のある攻撃者が、ユーザーの助けをほとんど、あるいは全く必要とせずに、脆弱なWindowsデバイスのリモートコントロールを奪うためにこれらのバグを悪用できることを意味します。Rapid7は、今月、より懸念されるクリティカルな脆弱性のいくつかを特定する上で、多くの重労働を担っています。それらには以下が含まれます。 * [CVE-2026-41089](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41089): Windows Netlogonにおけるクリティカルなスタックベースのバッファオーバーフローで、攻撃者にドメインコントローラー上のSYSTEM権限を提供します。権限やユーザー操作は不要で、攻撃の複雑性は低いです。Windows Server 2012以降のすべてのバージョンにパッチが利用可能です。 * [CVE-2026-41096](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41096): Windows DNSクライアント実装におけるクリティカルなRCEで、Microsoftは悪用される可能性は低いと評価していますが、注意に値します。 * [CVE-2026-41103](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41103): 認証されていない攻撃者が偽造された認証情報を提供することで既存のユーザーになりすまし、Entra IDをバイパスできるクリティカルな権限昇格の脆弱性です。Microsoftは悪用される可能性が高いと予想しています。 5月のパッチチューズデーは、Microsoftがほぼ記録的な167件のセキュリティ脆弱性を修正した4月からの歓迎すべき休息となります。Microsoftは、Anthropicによって開発された、コード内のセキュリティ脆弱性を発見するのに非常に効果的であると見なされている「**Project Glasswing**」にアクセスできた数十のテクノロジー大手の一つでした。 ### Appleの対応 AppleもProject Glasswingの早期参加者であり、Ivantiの製品管理担当バイスプレジデントであるChris Goettl氏によると、通常、iOSデバイスのセキュリティアップデートをリリースするたびに平均20件の脆弱性を修正しています。5月11日、Appleは少なくとも52件の脆弱性に対応するアップデートをリリースし、iPhone 6sおよびiOS 15まで変更をバックポートしました。 ### Mozillaの積極的なパッチ適用 先月、MozillaはFirefox 150をリリースし、Glasswing評価中に発見されたとされる271件もの脆弱性を解決しました（[https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/](https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/)）。 Goettl氏は、「Firefox 150.0.0がリリースされて以来、セキュリティアップデートの週次ペースがより積極的になり、5月のパッチチューズデーにリリースされたFirefox 150.0.3では、各リリースで3〜5件のCVEが解決されました」と述べています。 ### OracleとGoogleもパッチの列に加わる ソフトウェア大手Oracleも同様に、Glasswingとの連携に対応してパッチ適用ペースを最近加速させています。直近の四半期ごとのパッチアップデートで、Oracleは少なくとも450件の脆弱性に対応しましたが、これにはリモートで悪用可能で認証不要な脆弱性に対する300件以上の修正が含まれていました（[https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/](https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/)）。しかし、4月末には、Oracleはクリティカルなセキュリティ問題に対する月次アップデートサイクルに移行すると発表しました。 5月8日、GoogleはChromeブラウザのアップデートのロールアウトを開始し、驚くべきことに127件のセキュリティ脆弱性を修正しました（前月はわずか30件でした）（[https://www.forbes.com/sites/daveywinder/2026/05/08/critical-new-google-security-update-127-chrome-security-vulnerabilities-confirmed/](https://www.forbes.com/sites/daveywinder/2026/05/08/critical-new-google-security-update-127-chrome-security-vulnerabilities-confirmed/)）。Chromeは利用可能なセキュリティアップデートを自動的にダウンロードしますが、インストールにはブラウザの完全な再起動が必要です。 Microsoftまたはここで言及されている他のベンダーからのアップデートの適用中に奇妙な現象が発生した場合は、下のコメントで遠慮なくご意見をお聞かせください。それまでの間、データをバックアップしていない場合や、ドライブを最近バックアップしていない場合は、アップデートの前にそれを行うことが一般的に賢明なアドバイスです。Microsoftが本日リリースしたアップデートの詳細については、SANS Internet Storm Centerによる[このインベントリ](https://isc.sans.edu/forums/diary/Microsoft%20May%202026%20Patch%20Tuesday/32980/)をご覧ください。