Microsoftは5月12日(米国時間)、「2026 年 5 月のセキュリティ更新プログラム (月例)」において、複数製品の脆弱性に対処する2026年5月のセキュリティ更新プログラムをリリースしたと伝えた。

JPCERT/CCも「Microsoft 製品の脆弱性対策について(2026年5月)」を公開し、利用者に注意を呼びかけている。

今回修正された脆弱性は137件で、このうち14件は深刻度が緊急(Critical)と分類されている。遠隔から任意のコードを実行される可能性のある脆弱性や、認証なしで悪用可能な脆弱性も含まれている。

  • Microsoftは2026年5月のセキュリティ更新を公開した

    Microsoftは2026年5月のセキュリティ更新を公開した

Windows DNS/Netlogonなど深刻なRCE脆弱性

今回の更新では、Windows環境に関連する深刻な脆弱性が複数修正されている。

「CVE-2026-41089」はWindows Netlogonに存在するスタックベースのバッファーオーバーフローの脆弱性で、認証されていないリモートの攻撃者によって任意のコードを実行される可能性がある。CVSSスコアは9.8。

また、「CVE-2026-41096」はMicrosoft Windows DNSに存在するヒープベースのバッファーオーバーフローの脆弱性で、こちらも認証不要で遠隔からコードを実行される可能性がある。CVSSスコアは9.8と非常に高い。

このほか、Windows Hyper-Vにおける権限昇格の脆弱性「CVE-2026-40402」も修正対象となっている。

Azure DevOpsではCVSS 10.0の脆弱性

クラウドおよび開発基盤関連でも深刻な脆弱性が修正されている。

「CVE-2026-42826」はAzure DevOpsに存在する機密情報漏洩の脆弱性で、認証されていないリモートの攻撃者によって機密情報を窃取される可能性がある。CVSSスコアは最大値となる10.0。

また、Azure Managed Instance for Apache Cassandra、Azure Cloud Shell、Azure Logic AppsなどAzure関連サービスにも複数のCritical脆弱性が含まれている。

Microsoft Teamsに存在する情報漏洩の脆弱性「CVE-2026-33823」や、Microsoft Dynamics 365(オンプレミス)におけるコード実行の脆弱性も修正対象となっている。

14件の重大な脆弱性

深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

  • CVE-2026-33109 - Azure Managed Instance for Apache Cassandraに不適切なアクセス制御の脆弱性。認証を受けた攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.9)
  • CVE-2026-33117 - Azure SDKに不適切な認証処理の脆弱性。未認証の攻撃者がセキュリティ機能を回避できる可能性がある(CVSSスコア: 9.1)
  • CVE-2026-33823 - Microsoft Teamsに不正な権限設定の脆弱性。認証を受けた攻撃者が情報を窃取できる可能性がある(CVSSスコア: 9.6)
  • CVE-2026-33844 - Azure Managed Instance for Apache Cassandraに不適切な入力検証の脆弱性。認証を受けた攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.0)
  • CVE-2026-35428 - Azure Cloud Shellにコマンドインジェクションの脆弱性。未認証の攻撃者が遠隔からネットワーク上で偽装できる可能性がある(CVSSスコア: 9.6)
  • CVE-2026-40379 - Azure Entra IDになりすましの脆弱性。未認証の攻撃者が遠隔からネットワーク上で偽装できる可能性がある(CVSSスコア: 9.3)
  • CVE-2026-40402 - Windows Hyper-Vに解放後使用(UAF: use-after-free)の脆弱性。ローカルで不正に権限を昇格される可能性がある(CVSSスコア: 9.3)
  • CVE-2026-41089 - Windows Netlogonにスタックベースのバッファーオーバーフローの脆弱性。未認証の攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2026-41096 - Microsoft Windows DNSにヒープベースのバッファーオーバーフローの脆弱性。未認証の攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2026-41103 - Microsoft SSO Plugin for Jira & Confluenceの認証アルゴリズムに不完全な実装の脆弱性。リモートで不正に権限を昇格される可能性がある(CVSSスコア: 9.1)
  • CVE-2026-42823 - Azure Logic Appsに不適切なアクセス制御の脆弱性。認証を受けた攻撃者が遠隔から不正に権限を昇格する可能性がある(CVSSスコア: 9.9)
  • CVE-2026-42833 - Microsoft Dynamics 365(オンプレミス)に権限を逸脱する実行許可の脆弱性。認証を受けた攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.1)
  • CVE-2026-42898 - Microsoft Dynamics 365(オンプレミス)にコードインジェクションの脆弱性。認証を受けた攻撃者が遠隔からコードを実行できる可能性がある(CVSSスコア: 9.9)
  • CVE-2026-42826 - Azure DevOpsに機密情報漏洩の脆弱性。未認証の攻撃者が遠隔から機密情報を窃取できる可能性がある(CVSSスコア: 10.0)

JPCERT/CCが速やかな更新を呼びかけ

JPCERT/CCは、Microsoftのセキュリティ更新プログラムを速やかに適用するよう呼びかけている。

脆弱性情報の詳細は、次のページにまとめられている。