2026年5月のパッチチューズデー：ゼロデイはなし、でも修正すべき脆弱性は多数

今月のパッチチューズデーは137個のセキュリティ脆弱性を修正し、そのうち31個はMicrosoftによって重大と判定されています。野生で悪用されているゼロデイはありません。

Microsoftはゼロデイを「公式なパッチやセキュリティアップデートがまだ利用可能でないソフトウェアの欠陥」と定義しています。今月、Microsoftは含まれているいかなる脆弱性も本番環境で悪用されているのを観察していません。

それでも、このリリースは低リスクからは程遠いものです。重大なバグの大部分により、Windowsサービス、Office、Azure、SharePoint、およびグラフィックスコンポーネント全体でリモートコード実行（RCE）が可能になります。つまり、ユーザーを騙して悪意のあるドキュメントを開かせたり、悪意のあるサービスに接続させたりする攻撃者は、システムを完全に制御できる可能性があります。

優先すべき2つの脆弱性

そのリストから、問題を引き起こす可能性がありそうな2つを選択しました。

最初のものはCVE-2026-40361で、CVSSスコアは10中8.4です。これはMicrosoft Wordの重大な解放後利用脆弱性として説明されており、攻撃者が影響を受けたシステム上でローカルでコードを実行できる可能性があります。

解放後利用は、プログラムの動作中の動的メモリの不正な使用によって引き起こされるクラスの脆弱性です。メモリロケーションを解放した後、プログラムがそのメモリへのポインタをクリアしない場合、攻撃者はそのエラーを使用してプログラムを操作できる可能性があります。

したがって、攻撃者がユーザーを騙して悪意のあるWord文書を開かせたり、ファイルをプレビューさせたりした場合、現在のユーザーの権限で任意のコードを実行できます。これはマルウェアをインストールしたり、認証情報を盗んだり、ネットワーク内を横方向に移動したりするのに十分なことがよくあります。

2番目のものはCVE-2026-35421です（CVSSスコア10中7.8）。これはWindows Graphics Device Interface（GDI）の重大なヒープベースのバッファオーバーフローです。バッファオーバーフローは、ソフトウェアアプリケーション内のメモリ領域がそのアドレス境界に達し、隣接するメモリ領域に書き込む場合に発生します。Microsoftは以下のように述べています：

「この脆弱性を悪用するには、ユーザーはMicrosoft Paintを使用して特別に作成された拡張メタファイル（EMF）ファイルを開くか、それ以外の方法で処理する必要があります。このアクションは、Windowsコンポーネント内の影響を受けるグラフィックス機能をトリガーするために必要です。」

リアルタイム保護。ゼロの努力。 

修正を適用して保護されているか確認する方法

これらのアップデートはセキュリティ問題を修正し、Windows PCを保護し続けます。最新の状態になっていることを確認する方法は次のとおりです：

1. 設定を開く

• スタートボタン（画面の左下にあるWindowsロゴ）をクリックします。
• 設定をクリックします（小さな歯車のように見えます）。

2. Windows Update に移動する

• 設定ウィンドウで、Windows Update を選択します（通常は左側のメニューの下部にあります）。

3. アップデートを確認する

• アップデートを確認と表示されているボタンをクリックします。
• Windowsは最新のパッチチューズデーアップデートを検索します。
• 最新のアップデートが利用可能になったらすぐに取得するように選択した場合は、これを詳細オプション下に表示される可能性があります。
• その場合、「再起動が必要」というメッセージが表示される可能性があります。システムを再起動するとアップデートが完了します。
  
• そうでない場合は、以下の手順を続けてください。

4. ダウンロードとインストール　アップデートが見つかった場合、自動的にダウンロードが開始されます。完了すると、「インストール」または「今すぐ再起動」と表示されたボタンが表示されます。

• 必要に応じて「インストール」をクリックしてプロンプトに従います。通常、アップデートを完了するにはコンピュータを再起動する必要があります。その場合は「今すぐ再起動」をクリックしてください。

5. 最新の状態であることを再確認する

• 再起動後、Windows Update に戻り、もう一度確認します。「最新の状態です」と表示されている場合は、準備完了です。