**Microsoft**の2026年5月のセキュリティアップデートは、138件の脆弱性に対応しており、そのうち30件がCritical、104件がImportant、3件がModerate、1件がLowと評価されています。脆弱性のうち、特筆すべきは権限昇格のバグが61件、リモートコード実行の脆弱性が32件となっています。 今回のアップデートには、Zen 2ベースの製品における不適切なリソース共有に関する**AMD**の脆弱性、**CVE-2025-54518**（CVSSスコア：7.3）へのパッチも含まれています。この脆弱性は権限昇格につながる可能性があります。 これらのパッチは、**Microsoft Edge**ブラウザの基盤となっている**Chromium**で**Google**が対応した127件のセキュリティ脆弱性に加えて適用されます。 ### 重大なWindows DNS脆弱性 最も深刻な脆弱性の一つは、Windows DNSにおけるヒープベースのバッファオーバーフローである**CVE-2026-41096**（CVSSスコア：9.8）です。攻撃者は、特別に細工されたDNS応答を送信することで、認証なしにリモートコード実行を可能にする可能性があります。 「攻撃者は、特別に細工されたDNS応答を脆弱なWindowsシステムに送信することで、この脆弱性を悪用する可能性があります。これにより、DNSクライアントが応答を誤って処理し、メモリが破損する可能性があります」と**Microsoft**は述べています。「特定の構成では、攻撃者が認証なしに影響を受けるシステム上でリモートでコードを実行できる可能性があります。」 ### その他の注目すべき脆弱性 **Microsoft**は、他にもいくつかのCriticalおよびImportantな脆弱性に対応しており、その中には以下が含まれます： * **CVE-2026-42826**（CVSSスコア：10.0） - Azure DevOpsにおける情報漏洩。 * **CVE-2026-33109**（CVSSスコア：9.9） - Azure Managed Instance for Apache Cassandraにおける不適切なアクセス制御。 * **CVE-2026-42898**（CVSSスコア：9.9） - Microsoft Dynamics 365（オンプレミス）におけるコードインジェクション。 * **CVE-2026-42823**（CVSSスコア：9.9） - Azure Logic Appsにおける不適切なアクセス制御。 * **CVE-2026-41089**（CVSSスコア：9.8） - Windows Netlogonにおけるスタックベースのバッファオーバーフロー。 * **CVE-2026-33823**（CVSSスコア：9.6） - Microsoft Teamsにおける不適切な認可。 * **CVE-2026-35428**（CVSSスコア：9.6） - Azure Cloud Shellにおけるコマンドインジェクション。 * **CVE-2026-40379**（CVSSスコア：9.3） - Azure Entra IDにおける情報漏洩。 * **CVE-2026-40402**（CVSSスコア：9.3） - Windows Hyper-VにおけるUse-after-free。 * **CVE-2026-41103**（CVSSスコア：9.1） - Microsoft SSO Plugin for Jira & Confluenceにおける不適切な認証。 * **CVE-2026-33117**（CVSSスコア：9.1） - Azure SDKにおける不適切な認証。 * **CVE-2026-42833**（CVSSスコア：9.1） - Microsoft Dynamics 365（オンプレミス）における不要な権限での実行。 * **CVE-2026-33844**（CVSSスコア：9.0） - Azure Managed Instance for Apache Cassandraにおける不適切な入力検証。 * **CVE-2026-40361**（CVSSスコア：8.4） - Microsoft Office WordにおけるUse-after-free。 * **CVE-2026-40364**（CVSSスコア：8.4） - Microsoft Office Wordにおける型混乱。 **Rapid7**のアダム・バーネット氏は、**CVE-2026-41103**に言及し、不正なユーザーなりすましやEntra IDのバイパスの可能性を指摘しました。 **Action1**のジャック・ビサー氏は、**CVE-2026-42898**をクリティカルと評し、低権限を持つ認証済み攻撃者がDynamics CRMを介して任意のコードを実行できると説明しました。彼は、顧客レコード、ワークフロー、統合ビジネスシステムの潜在的な侵害による深刻なエンタープライズリスクを強調しました。 ### セキュアブート証明書の更新リマインダー 組織は、来月（2026年6月）に2011年証明書の有効期限が切れる前に、Windowsセキュアブート証明書を2023年版に更新するようリマインドされています。この変更は、2025年11月に最初に発表されました。 Nightwingのレイン・ベイカー氏は、この更新の重要性を強調し、2026年6月26日の締め切りまでに更新されていないデバイスに対して「壊滅的なブートレベルのセキュリティ障害」が発生する可能性があると警告しました。 ### 2026年に入ってから既に500件以上のCVE **Tenable**のサトナム・ナラン氏によると、**Microsoft**は2026年の最初の5か月で既に500件以上のCVEに対応しており、現代のソフトウェアにおける脆弱性の複雑さと量の増加を浮き彫りにしています。