マイクロソフトは、2026年5月13日(米国時間)、2026年5月のセキュリティ更新プログラム(月例パッチ)を公開した。該当するソフトウェアはCVEベースで137件である。()内は対応するCVEである。

  • Windowsリッチテキスト編集(CVE-2026-21530)
  • M365 Copilot(CVE-2026-26129)
  • M365 Copilot(CVE-2026-26164)
  • WindowsネイティブWiFiミニポートドライバー(CVE-2026-32161)
  • Windowsリッチテキスト編集コントロール(CVE-2026-32170)
  • .NET(CVE-2026-32175)
  • .NET(CVE-2026-32177)
  • Microsoft Teams(CVE-2026-32185)
  • Azure Monitorエージェント(CVE-2026-32204)
  • Azure Machine Learning(CVE-2026-32207)
  • Windowsフィルタリングプラットフォーム(WFP)(CVE-2026-32209)
  • Azure Managed Instance for Apache Cassandra(CVE-2026-33109)
  • Microsoft Office SharePoint(CVE-2026-33110)
  • Copilot Chat(Microsoft Edge)(CVE-2026-33111)
  • Microsoft Office SharePoint(CVE-2026-33112)
  • Azure SDK(CVE-2026-33117)
  • Microsoft Dynamics 365 Customer Insights(CVE-2026-33821)
  • Microsoft Teams(CVE-2026-33823)
  • Azure Machine Learning(CVE-2026-33833)
  • Windows Event Logging Service(CVE-2026-33834)
  • Windows Cloud Files Mini Filter Driver(CVE-2026-33835)
  • Windows TCP/IP(CVE-2026-33837)
  • Windowsメッセージキュー(CVE-2026-33838)
  • Windows Win32K: GRFX(CVE-2026-33839)
  • Windows Win32K: ICOMP(CVE-2026-33840)
  • Windowsカーネル(CVE-2026-33841)
  • Azure Managed Instance for Apache Cassandra(CVE-2026-33844)
  • Microsoftパートナーセンター(CVE-2026-34327)
  • Windowsメッセージキュー(CVE-2026-34329)
  • Windows Win32K: GRFX(CVE-2026-34330)
  • Windows Win32K: GRFX(CVE-2026-34331)
  • Windowsカーネルモードドライバー(CVE-2026-34332)
  • Windows Win32K: GRFX(CVE-2026-34333)
  • Windows TCP/IP(CVE-2026-34334)
  • Windows DWM Coreライブラリ(CVE-2026-34336)
  • Windows Cloud Files Mini Filter Driver(CVE-2026-34337)
  • Windowsテレフォニーサービス(CVE-2026-34338)
  • Windows LDAP-ライトウェイトディレクトリアクセスプロトコル(CVE-2026-34339)
  • Windows Projected File System(CVE-2026-34340)
  • Windowsリンク層検出プロトコル(LLDP)(CVE-2026-34341)
  • Windows印刷スプーラーコンポーネント(CVE-2026-34342)
  • WindowsアプリケーションID(AppID)サブシステム(CVE-2026-34343)
  • WinSock用Windows Ancillary Function Driver(CVE-2026-34344)
  • WinSock用Windows Ancillary Function Driver(CVE-2026-34345)
  • Windows Win32K: GRFX(CVE-2026-34347)
  • Windows Storportミニポートドライバー(CVE-2026-34350)
  • Windows TCP/IP(CVE-2026-34351)
  • Windows Storage Spaces Controller(CVE-2026-35415)
  • WinSock 用 Windows Ancillary Function Driver(CVE-2026-35416)
  • Windows Win32K: ICOMP(CVE-2026-35417)
  • Windows Cloud Files Mini Filter Driver(CVE-2026-35418)
  • Windows DWM Coreライブラリ(CVE-2026-35419)
  • Windowsカーネル(CVE-2026-35420)
  • Windows GDI(CVE-2026-35421)
  • Windows TCP/IP(CVE-2026-35422)
  • Telnetクライアント(CVE-2026-35423)
  • Windowsインターネットキー交換(IKE) プロトコル(CVE-2026-35424)
  • Azure Cloud Shell(CVE-2026-35428)
  • Android用Microsoft Edge(CVE-2026-35429)
  • .NET(CVE-2026-35433)
  • Azure AI Foundry M365公開済みエージェント(CVE-2026-35435)
  • Microsoft Officeクイック実行(CVE-2026-35436)
  • Windows管理センター(CVE-2026-35438)
  • Microsoft Office SharePoint(CVE-2026-35439)
  • Microsoft Office Word(CVE-2026-35440)
  • Microsoft Office SharePoint(CVE-2026-40357)
  • Microsoft Office(CVE-2026-40358)
  • Microsoft Office Excel(CVE-2026-40359)
  • Microsoft Office Excel(CVE-2026-40360)
  • Microsoft Office Word(CVE-2026-40361)
  • Microsoft Office Excel(CVE-2026-40362)
  • Microsoft Office(CVE-2026-40363)
  • Microsoft Office Word(CVE-2026-40364)
  • Microsoft Office SharePoint(CVE-2026-40365)
  • Microsoft Office Word(CVE-2026-40366)
  • Microsoft Office Word(CVE-2026-40367)
  • Microsoft Office SharePoint(CVE-2026-40368)
  • Windowsカーネル(CVE-2026-40369)
  • SQL Server(CVE-2026-40370)
  • Power Automate(CVE-2026-40374)
  • Windows Cryptographicサービス(CVE-2026-40377)
  • Azure Entra ID(CVE-2026-40379)
  • Windowsボリュームマネージャー拡張ドライバー(CVE-2026-40380)
  • Azure Connected Machineエージェント(CVE-2026-40381)
  • Windowsテレフォニーサービス(CVE-2026-40382)
  • Windows共通ログファイル システム ドライバー(CVE-2026-40397)
  • Windowsリモートデスクトップ(CVE-2026-40398)
  • Windows TCP/IP(CVE-2026-40399)
  • Windows TCP/IP(CVE-2026-40401)
  • Windows Hyper-V(CVE-2026-40402)
  • Windows Win32K: GRFX(CVE-2026-40403)
  • Windows TCP/IP(CVE-2026-40405)
  • Windows TCP/IP(CVE-2026-40406)
  • Windows共通ログファイルシステムドライバー(CVE-2026-40407)
  • Windowsカーネルモードドライバー(CVE-2026-40408)
  • Windows SMBクライアント(CVE-2026-40410)
  • Windows TCP/IP(CVE-2026-40413)
  • Windows TCP/IP(CVE-2026-40414)
  • Windows TCP/IP(CVE-2026-40415)
  • Microsoft Edge(Chromiumベース)(CVE-2026-40416)
  • Dynamics Business Central(CVE-2026-40417)
  • Microsoft Officeクイック実行(CVE-2026-40418)
  • Microsoft Office(CVE-2026-40419)
  • Microsoft Officeクイック実行(CVE-2026-40420)
  • Microsoft Office Word(CVE-2026-40421)
  • Windows管理センター(CVE-2026-41086)
  • WinSock用Windows Ancillary Function Driver(CVE-2026-41088)
  • Windows Netlogon(CVE-2026-41089)
  • Microsoft Data Formulator(CVE-2026-41094)
  • Windows Projected File System(CVE-2026-41095)
  • Microsoft Windows DNS(CVE-2026-41096)
  • Windowsセキュアブート(CVE-2026-41097)
  • M365 Copilot(CVE-2026-41100)
  • Microsoft Office Word(CVE-2026-41101)
  • Microsoft Office PowerPoint(CVE-2026-41102)
  • JiraとConfluence用のMicrosoft SSOプラグイン(CVE-2026-41103)
  • Azure通知サービス(CVE-2026-41105)
  • Microsoft Edge(Chromiumベース)(CVE-2026-41107)
  • GitHub CopilotとVisual Studio(CVE-2026-41109)
  • Visual Studio Code(CVE-2026-41610)
  • Visual Studio Code(CVE-2026-41611)
  • Visual Studio Code(CVE-2026-41612)
  • Visual Studio Code(CVE-2026-41613)
  • M365 Copilot for Desktop(CVE-2026-41614)
  • Azure Logic Apps(CVE-2026-42823)
  • Windowsテレフォニーサービス(CVE-2026-42825)
  • Azure DevOps(CVE-2026-42826)
  • Azure Monitorエージェント(CVE-2026-42830)
  • Office for Android(CVE-2026-42831)
  • Microsoft Office Excel(CVE-2026-42832)
  • Microsoft Dynamics 365(オンプレミス)(CVE-2026-42833)
  • Microsoft Edge(Chromiumベース)(CVE-2026-42838)
  • Microsoft Edge(Chromiumベース)(CVE-2026-42891)
  • M365 Copilot(CVE-2026-42893)
  • Windows DWM Core ライブラリ(CVE-2026-42896)
  • 図1 2026年5月のセキュリティ更新プログラム(月例パッチ)が公開された

    図1 2026年5月のセキュリティ更新プログラム(月例パッチ)が公開された

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8以上と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性である。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してほしい。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はないが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨している。
    • CVE-2026-42898:Microsoft Dynamics 365オンプレミスのリモートでコードが実行される脆弱性
    • CVE-2026-42823:Azure Logic Appsの特権昇格の脆弱性
    • CVE-2026-41096:Windows DNSクライアントのリモートでコードが実行される脆弱性
    • CVE-2026-41089:Windows Netlogonのリモートでコードが実行される脆弱性
  • セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2026年5月セキュリティ更新プログラムリリースノートに掲載されている。

新たに確認した脆弱性に対応した新しいセキュリティ更新プログラムは、以下の通り。

Windows 11 v26H1、v25H2、v24H2、v23H2

緊急(リモートでコードの実行が可能)

  • v26H1:KB5089548
  • v25H2、v24H2:KB5089549
  • v25H2、v24H2ホットパッチ:KB5089466
  • v23H2:KB5087420

Windows 11 v25H2とv24H2の更新プログラムであるKB5089549で対処される主な問題は以下の通り。

  • [セキュアブート]
    • この更新プログラムでは、データを対象とする信頼性の高いデバイスが追加され、新しいセキュアブート証明書を自動的に受信できるデバイスの範囲が広がる。デバイスは、十分な正常な更新シグナルを示し、制御された段階的なロールアウトを維持した後にのみ、新しい証明書を受け取る。
  • [ブートマネージャーのサービス更新プログラム]
    • この更新プログラムにより、ブートファイルの更新後の起動の信頼性が向上するため、デバイスはBitLockerの回復に入らずに正常に起動する。
    • (既知の問題)修正済み:この更新プログラムは、無効なPCR7(プラットフォーム構成レジスタ7)構成など、特定のトラステッドプラットォームモジュール(TPM))検証設定を使用してシステム上のブートファイルを更新した後に、一部のデバイスがBitLocker Recoveryに入る可能性がある問題に対処する。 これは、2026年4月のセキュリティ更新プログラム(KB5083769)をインストールした後に発生する可能性がある。
  • [接続]
    • この更新プログラムは、サービスが応答しなくなるのを防ぐために、Simple Service Discovery Protocol(SSDP)通知の信頼性を向上させる。

Windows Server 2025(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • KB5087539
  • ホットパッチ:KB5087423

Windows Server 2022、23H2(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2022:KB5087545
  • Windows Server 2022ホットパッチ:KB5087424
  • Windows Server 23H2:KB5087541

Windows Server 2019、2016(Server Core installationを含む)

緊急(リモートでコードの実行が可能)

  • Windows Server 2019:KB5087538
  • Windows Server 2016:KB5087537

Windows Admin Center

重要(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/windows-server/manage/windows-admin-center/overview を参照してほしい。

Microsoft Office

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates を参照してほしい。

Microsoft SharePoint

緊急(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/officeupdates/sharepoint-updates を参照してほしい。

Microsoft .NET

重要(特権の昇格緊急)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dotnet を参照してほしい。

Microsoft Visual Studio

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/visualstudio を参照してほしい。

Microsoft Dynamics 365

緊急(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/dynamics365 を参照してほしい。

Microsoft SQL Server

重要(リモートでコードの実行が可能)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/sql を参照してほしい。

Microsoft Azure

緊急(特権の昇格)

セキュリティ更新プログラムの詳細については、https://learn.microsoft.com/azure を参照してほしい。