**Microsoft**の2026年4月のパッチチューズデーは、記録的な169件のセキュリティ脆弱性に対処しており、過去のアップデートでこれを超える規模のものは1つだけでした。この包括的なパッチは、現在悪用されている1件のゼロデイ脆弱性を含む、同社の広範な製品ポートフォリオ全体にわたる重大な欠陥に対処しています。 ### 脆弱性の内訳 パッチが適用された169件の脆弱性のうち、157件は「重要」、8件は「重大」、3件は「中」、1件は「低」と分類されています。これらの欠陥の大部分（93件）は権限昇格の脆弱性で、次いで情報漏洩（21件）、リモートコード実行（21件）、セキュリティ機能バイパス（14件）、なりすまし（10件）、サービス拒否（9件）の脆弱性となっています。アップデートには、**AMD**（**CVE-2023-20585**）、**Node.js**（**CVE-2026-21637**）、Windows Secure Boot（**CVE-2026-25250**）、**Git for Windows**（**CVE-2026-32631**）に影響する、Microsoft以外の組織から発行された4件のCVEも含まれています。これは、先月のアップデート以降、ChromiumベースのEdgeブラウザで対処された78件の脆弱性に加えてのものです。 ### 記録的なパッチ 今回のリリースは、史上2番目に大きいパッチチューズデーであり、**Microsoft**が183件の欠陥にパッチを適用した2025年10月に次ぐ規模です。**Tenable**の上級スタッフリサーチエンジニアである**Satnam Narang**氏は、このペースが続けば、2026年には1,000件以上のパッチチューズデーCVEが発生するだろうと指摘しています。 Narang氏はさらに、最近のパッチチューズデーサイクルにおける権限昇格バグの優位性を指摘し、4月にパッチが適用された全CVEの57%を占めていると述べています。リモートコード実行（RCE）脆弱性は12%に減少し、情報漏洩脆弱性と並んでいます。 ### 活発に悪用されている脆弱性：CVE-2026-32201 活発に悪用されている脆弱性は、**Microsoft SharePoint Server**におけるなりすまし脆弱性である**CVE-2026-32201**（CVSSスコア：6.5）です。**Microsoft**によると、不適切な入力検証により、不正な攻撃者がネットワーク経由でなりすましを実行し、機密情報を閲覧したり、開示された情報に変更を加えたりする可能性があります。 この脆弱性は内部で発見されましたが、その悪用の詳細、関与した攻撃者、攻撃の規模は現時点では不明です。 **Action1**の社長兼共同創設者である**Mike Walters**氏は、この欠陥により攻撃者はユーザーに提示される情報を操作し、悪意のあるコンテンツを信頼させることができると強調しました。 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**）は、**CVE-2026-32201**を既知の悪用済み脆弱性（KEV）カタログに追加し、連邦民間執行機関（FCEB）に対し、2026年4月28日までにこの脆弱性を修正することを義務付けました。 ### 公開既知の脆弱性：CVE-2026-33825（BlueHammer） もう1つの注目すべき脆弱性は、**Microsoft Defender**における権限昇格の欠陥である**CVE-2026-33825**（CVSSスコア：7.8）で、リリース時点で公開既知でした。この欠陥は、正規の攻撃者が**Defender**の適切な詳細アクセス制御の欠如を悪用することで、ローカルで権限を昇格させることを可能にする可能性があります。 **Microsoft**は、**CVE-2026-33825**のアップデートのインストールにユーザーアクションは不要であり、プラットフォームはデフォルトで頻繁に自己更新されると述べています。**Microsoft Defender**が無効になっているシステムは脆弱ではありません。 このパッチは、2026年4月3日に**GitHub**上で**Microsoft**との脆弱性開示プロセスに関する紛争の後、セキュリティ研究者によって共有された**BlueHammer**として知られるゼロデイエクスプロイトを解決すると考えられています。エクスプロイトリポジトリへのアクセスには、現在**GitHub**のログインが必要です。 **Cyderes**は、**BlueHammer**がボリュームシャドウコピーの悪用を通じて**Microsoft Defender**のアップデートプロセスを悪用し、正規のWindows機能を連鎖させることでNT AUTHORITY\SYSTEMへの権限昇格を達成すると説明しています。 **Cyderes**の研究者である**Rahul Ramesh**氏と**Reegun Jayapaul**氏は、**BlueHammer**がクラウドファイルコールバックとoplockを使用して、一時的なボリュームシャドウコピーのスナップショット作成中に**Defender**を一時停止させ、SAM、SYSTEM、およびSECURITYレジストリハイブにアクセス可能にする方法を詳細に説明しました。 **Will Dormann**氏はMastodonで、**BlueHammer**エクスプロイトはもはや機能せず、**CVE-2026-33825**によって修正されたように見えるが、エクスプロイトのコンポーネントの一部はまだ機能する可能性があると確認しました。 ### 重大なリモートコード実行脆弱性：CVE-2026-33824 最も深刻な脆弱性の中には、Windows Internet Key Exchange（IKE）サービス拡張機能に影響するリモートコード実行の欠陥である**CVE-2026-33824**があり、CVSSスコアは10.0点中9.8点です。 **Rapid7**のリードソフトウェアエンジニアである**Adam Barnett**氏は、悪用には攻撃者がIKE v2が有効になっているWindowsマシンに特別に細工されたパケットを送信する必要があり、リモートコード実行につながる可能性があると述べています。 Barnett氏は、最新のWindowsアセットに対する認証不要なRCE脆弱性の希少性を強調しましたが、VPNのセキュアなトンネルネゴシエーションサービスを提供する役割を考慮すると、IKEの固有の露出性を強調しました。 **Walters**氏は、この欠陥がエンタープライズ環境、特にVPNまたはIPsecを使用してセキュアな通信を行っている環境にとって深刻な脅威となると警告しました。悪用に成功すると、完全なシステム侵害につながり、データ窃盗、運用の中断、またはネットワーク全体でのラテラルムーブメントを可能にする可能性があります。ユーザーインタラクションが不要であることと、広範な攻撃の可能性は、この脆弱性をIKEv2サービスを実行しているインターネットに公開されているシステムにとって特に危険なものにしています。