2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応
目次
Microsoftが2026年4月15日(日本時間)のPatch Tuesdayで163件のCVEにパッチを当てた。
ChromiumベースのEdge/ブラウザ脆弱性を含めると247件前後になる。
Tenableのシニアリサーチエンジニア、Satnam Narangは「Microsoftのパッチ火曜日史上2番目に大きいリリース」と評した。
Critical 8件・Important 154件・Moderate 1件という構成で、うち約60件がブラウザ関連だ。
件数が膨らんだ背景としてセキュリティ研究者らが指摘するのは、AIによる脆弱性発見の高速化だ。
Rapid7のAdam Barnettは「AIモデルの影響が能力・普及の両面でさらに拡大するにつれ、脆弱性報告件数のさらなる増加を見込むべき」と述べている。
ZDIへの脆弱性投稿レートも前年比でほぼ3倍に達しているという。
今回パッチされた163件の中で、特に対応を急ぐべきもの・技術的に注目すべきものを取り上げる。
SharePoint Server ゼロデイ CVE-2026-32201、実攻撃で悪用中
| 項目 | 内容 |
|---|---|
| 製品 | SharePoint Server 2016 / 2019 / Subscription Edition |
| 種別 | スプーフィング(XSS) |
| CVSS | 6.5 |
| 認証 | 不要 |
| 悪用状況 | 実際の攻撃で悪用確認済み / CISA KEV登録済み |
入力フィールドのサニタイズ不足によるXSS(クロスサイトスクリプティング)で、ネットワーク経由・認証不要で攻撃できる。
CVSSスコアは6.5と見た目には低いが、既に実際の攻撃に使われており、CISAの既知悪用脆弱性(KEV)カタログに登録済みだ。
Action1のMike Waltersは「フィッシング攻撃、不正なデータ操作、ソーシャルエンジニアリングによる攻撃活動を可能にし、さらなる侵害につながり得る」と指摘する。
インターネットに直接公開されているSharePointサーバは優先度を上げてパッチを当てること。
BlueHammer CVE-2026-33825、Windows Defender LPEとPoC
| 項目 | 内容 |
|---|---|
| 製品 | Windows Defender(Microsoft Defender) |
| 種別 | ローカル特権昇格(EoP) |
| CVSS | 7.8 |
| 悪用状況 | パッチ前にPoC公開済み、実攻撃での悪用は未確認 |
2026年4月初旬、「Chaotic Eclipse」(別名「Nightmare Eclipse」)を名乗る研究者がGitHub上でフル機能のWindows LPEエクスプロイトを公開した。
Microsoftへの開示後、対応の遅さに不満を抱いての公開だという。
攻撃チェーンが技術的に面白い。Windows Defenderの署名更新ワークフローを「認証情報窃取メカニズム」として逆用する5段階の手順だ。
graph TD
A[VSS悪用<br/>Defenderに強制スナップショット作成] --> B[タイミング攻撃<br/>Defender処理を特定タイミングで停止]
B --> C[レジストリアクセス<br/>VSSスナップショットからSAMハイブ取得]
C --> D[認証情報窃取<br/>ローカルアカウントのNTLMハッシュ抽出]
D --> E[特権昇格<br/>CreateService APIでSYSTEMプロセス起動]Cloud Files APIとVolume Shadow Copy Services(VSS)の相互作用における設計上の想定外の挙動が根本原因だ。
VSSスナップショットからSAMハイブを取得し、NTLMハッシュを抽出・復号する流れは、以前からWindowsセキュリティ研究者の間で知られた手法をDefenderの特権コンテキストで実行するものだ。
NTLMハッシュが取れると、pass-the-hash攻撃(パスワードの代わりにハッシュ値で認証を突破する手法)で内部ネットワーク内の別システムへ侵入(横展開)できる。
悪意あるWindowsサービスを登録すれば、システム再起動後も居座り続ける永続化も可能だ。
サーバー環境では管理者権限取得にとどまるが、クライアントOS(Windows 10/11)ではSYSTEM権限が取れる。
4月14日のパッチ適用後、公開済みPoCが機能しなくなったことはTharrosのWill Dormannが確認している。
ただ、Cyderes HowlerのRahul RameshとReegun Jayapaulが改良版を実証しており、Defenderのシグネチャは元のバイナリしか検出しないため、再コンパイルで検出回避が可能な状態が続いていた。
ワーム化可能な高CVSS CVE
今回のリリースでCVSS 9.0以上が2件含まれている。
| CVE | コンポーネント | CVSS | 種別 |
|---|---|---|---|
| CVE-2026-33824 | Windows IKE Service Extensions | 9.8 | RCE |
| CVE-2026-26149 | Microsoft Power Apps | 9.0 | セキュリティバイパス |
CVE-2026-33824(IKE RCE)はネットワーク越しの未認証RCEで、ワーム化(感染したシステムから別のシステムへ自律的に広がること)が可能だ。
UDP 500/4500をブロックすることで外部からの到達は防げるが、内部ネットワークでのラテラルムーブメントには効かない。
IKEはIPsec VPNの鍵交換プロトコルで、企業ネットワークでは広く使われている。
CVE-2026-33827(TCP/IP RCE, CVSS 8.1)もワーム化可能で、Pwn2Own 2026で実証済みの攻撃パターンと一致する。
IPv6・IPSec環境が対象だ。
その他のCVSS 8.0以上の主な項目をまとめる。
| CVE | コンポーネント | CVSS | 種別 |
|---|---|---|---|
| CVE-2026-32171 | Azure Logic Apps | 8.8 | EoP |
| CVE-2026-32157 | Remote Desktop Client | 8.8 | RCE |
| CVE-2026-33120 | SQL Server | 8.8 | RCE |
| CVE-2026-26178 | Windows Advanced Rasterization | 8.8 | EoP |
| CVE-2026-27928 | Windows Hello | 8.7 | セキュリティバイパス |
| CVE-2026-32190 | Microsoft Office | 8.4 | RCE |
| CVE-2026-33114 | Microsoft Word | 8.4 | RCE |
| CVE-2026-33115 | Microsoft Word | 8.4 | RCE |
| CVE-2026-33827 | Windows TCP/IP | 8.1 | RCE(ワーム化可能) |
| CVE-2026-33826 | Windows Active Directory | 8.0 | RCE(悪用可能性高) |
Chrome・Adobe の関連CVE
Chrome CVE-2026-5281(Dawn use-after-free, CVSS 8.8)は2026年4番目のゼロデイとして4月初旬にパッチ済み。
詳細は「Chrome 146のDawnにuse-after-free、2026年4件目のゼロデイが実環境悪用」を参照。
Adobe Acrobat CVE-2026-34621(CVSS 8.6)は少なくとも2025年11月から実際の攻撃での悪用が続いており、4月11日に緊急パッチ(APSB26-43)がリリースされた。
詳細は「Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43)」を参照。
AI自動発見との関係
件数増加の背景について、Krebsのレポートでもコメントが集まっている。
60件前後のブラウザ脆弱性はChromiumメンテナーが多様な研究者からの報告を取り込んだ結果だが、ZDIへの投稿レートが実質3倍に達した点はAIによるファジング(大量の異常入力を自動生成してバグを発見する手法)や脆弱性解析の普及と無関係ではない。
脆弱性が悪用者より先に見つかって修正される分には歓迎だが、月1回のパッチサイクルで163件を捌く運用側の負荷は増す一方だ。
来月以降も同規模の件数が続く可能性は高い。
今月のWindows Update不具合
2026年に入ってからPatch Tuesdayのたびに起動系の不具合が出ており、1月のKB5074109ではUNMOUNTABLE_BOOT_VOLUMEでPCが起動不能になるケースが報告された。
2月はGPU環境でのブラックスクリーン・再起動ループ、3月は10〜20分おきの再起動ループやBSOD(ATTEMPTED_WRITE_TO_READONLY_MEMORY)と続いた。
| 月 | KB | 主な問題 |
|---|---|---|
| 1月 | KB5074109 | UNMOUNTABLE_BOOT_VOLUME(BSOD)で起動不能。WinREからの回復が必要 |
| 2月 | KB5077181 | GPU搭載PCでブラックスクリーン・再起動ループ、Wi-Fi障害 |
| 3月 | KB5079473 | 10〜20分おきの再起動ループ、BSOD。Samsung PCではGalaxy Connectアプリとの競合が原因 |
今月4月のKB5083769(Windows 11 24H2/25H2向け)は比較的安定しており、ブートループやBSODの大規模報告は今のところ出ていない。
ただし、特定のBitLockerグループポリシー構成(PCR7 + Secure Boot DB内にWindows UEFI CA 2023証明書あり)の環境で、初回再起動後にBitLocker回復キー入力画面が表示される問題が確認されている。
2回目以降は発生せず、エンタープライズ向けにKnown Issue Rollback(KIR)が提供済み。
個人PCではほぼ影響ない。
Windows 10のKB5082200(22H2 ESU)は既知の不具合なし。
むしろ以前のIntel Connected StandbyデバイスでのBitLocker回復画面バグが今回修正されている。
優先度の整理としては、まずSharePoint CVE-2026-32201(実攻撃で悪用中・KEV登録)とBlueHammer CVE-2026-33825(PoC公開済み)を当て、次いでワーム化可能なIKE CVE-2026-33824(CVSS 9.8)を対処する、という順が現実的だ。