気がついたら今年の第1四半期はもう終わっていました。時間はどこへ行ってしまったのでしょう。先月の記事を見直してみたところ、AIの使用とそれに関連する脆弱性について触れており、今年のRSACでのテーマの良い前触れだったことに気づきました。確かに今年はAIが焦点となっており、ほぼすべての企業が何らかの形で自社製品にAI接続を有しています(中には紙の上だけかもしれませんが)。しかし、特に採用の初期段階にある現在、最も重要なメッセージは、人間による監視の重要性、または複数のプレゼンテーションで述べられているように「ループの中に人間を保つ」ことだと考えます。
AIは多くの状況で多くの価値を付加できますが、必要なすべての情報を提供しているにもかかわらず、間違った結論に達することもあります。私たちはまだこの新しい時代の「信頼ただし検証する」段階にあります。それはさておき、先月起きた注意すべきことを見てみましょう。
Microsoftが不具合のあるWindows 11プレビューアップデートを修正
Microsoftプレビューパッチユーザーは今月少し大変な思いをしました。KB5079391からWindows 11 24H2および25H2 OSプレビューパッチの最初のリリースをインストールしたユーザーは、ファイルの欠落と他のエラーメッセージについて、すぐに警告メッセージで問題に直面しました。Microsoftは最終的にKBを取り消し、プレビューアップデートを帯域外(OOB)のKB5086672として再発行しました。
予想通り、Microsoftのアップデートは「2026年3月26日の非セキュリティプレビューアップデート(KB5079391)で導入された改善と機能を含み、一部のデバイスに影響を与えたインストールの問題の修正が含まれています」。Patch Tuesdayで完全なリリースが行われたときよりも、プレビューパッチでこの問題をクリーンアップする方が遥かに良いです。
今月はOutlook Classicで2つの問題がOOBアップデートで解決されました。最初の問題は、3月のPatch Tuesdayからの最新バージョンのTeams Meeting アドインと、Outlookの一部の古いバージョン間の競合であると判定されました。Microsoftはこの問題をTeamsで修正し、ユーザーに最新バージョンのOutlookへのアップグレードも奨励しました。
2番目の問題は2月26日にさかのぼり、Microsoftはoutlook ClassicがGmailおよびYahooアカウントとの同期を停止していることを発見しました。この問題はMicrosoft 365で修正されていますが、Microsoftはパスワードを更新した後でも問題が続く場合に備えて、いくつかの初期サポートの詳細を提供しました。
SaRaツール廃止、Get Helpに置き換わり
信じがたいことですが、Windows 11 24H2のHomeおよびProエディションは、2026年10月13日にEOLに到達する予定です。Microsoftは3月27日に「IT部門によって管理されていないWindows 11バージョン24H2のHomeおよびProエディションを実行しているデバイスは、自動的にWindows 11バージョン25H2アップデートを受け取ります。デバイスの再起動時間を選択するか、アップデートを延期することができます」と発表しました。組織内でこれらのデバイスを自動的にアップグレードしたくない場合は、通常のセキュリティサポートの最後の6ヶ月間を受け取れるように、すぐに直接コントロール下に配置する必要があります。
Microsoftは3月のPatch Tuesday OSアップデートセットで、サポートされているすべてのオペレーティングシステムからSupport and Recovery Assistant(SaRA)を廃止しました。このツールは長い間存在していましたが、Microsoftが削除したいという複数のセキュリティの弱点がありました。その代わりに、Get Helpが利用可能になりました。ユーザーインターフェイス付きのフルバージョンと、Powershellで実行できるコマンドラインおよびスクリプトバージョンの両方で提供されます。このツールは主にMicrosoft Office、Microsoft 365、およびMicrosoft Outlookのトラブルシューティング用に設計されています。
Googleが2026年の4番目のゼロデイChrome更新をリリース
Googleが今年の4番目のゼロデイアップデートをリリースしたときは、エイプリルフールのジョークではありませんでした。このアップデートはWindows/Mac用146.0.7680.177/178で、Linux用146.0.7680.177です。19がHighで2つがMediumとして評価された21のCVEに対処しました。しかし最も重要なのは、DawnでのUse After Freeとして報告されたCVE-2026-5281が野生で悪用されていることが知られているということです。
Googleによると、「DawnはLargerシステムの一部として統合されることを目的としており、ChromiumのWebGPUの基盤となる実装です」。Googleは実際のエクスプロイトの詳細を提供しませんでした。
2026年4月 Patch Tuesday予測
- 今月はMicrosoftからの更新が少なくなる可能性があります。最近SQL Server、Exchange Server、および.NETアップデートがありましたので、今月はMicrosoftが通常のWindows OSおよびOfficeアップデートに焦点を当てると考えます。
- Creative Cloud Appsアップデートに関するAdobeローテーションは、最初にPhotoshop、InDesign、Audition、およびおそらく他のいくつかを含むでしょう。
- Appleは3月24日にTahoe 26.4、Sequoia 15.7.5、およびSonoma 14.8.5をリリースしました。これは各OSの多数のCVEに対処しました。これらをまだ展開していない場合は、月次デプロイメントに近い将来含める必要があります。
- Googleはこの1週間、すべての製品開発リリースで忙しいです。Patch Tuesdayは安定版リリースにはちょっと早いかもしれませんが、Patch Tuesday遅くにドロップするものを注意深く見てください。いつものように、先ほど言及した主要なゼロデイアップデートのように、ブラウザにパッチを適用し続けます。
- Mozillaは4月7日にFirefox 149.0.2、Firefox ESR 140.9.1、Firefox ESR 115.34.1、Thunderbird 149.0.2、およびThunderbird ESR 140.9.1をリリースしました。来週は静かであるべきですが、これらが既にデプロイされていることを確認してください。
多くのユーザーは、システムに検証されたソフトウェアを適用するのではなく、毎月Patch Tuesday Microsoftアップデートをベータテストしていることが多いと感じています。OS プレビューパッチは今後の非セキュリティ修正を早期にテストして検証することを目的としていますが、今月はテストを開始する前にそれらを稼働させて実行させるために、早期の春の大掃除を必要としていました。
翻訳元: https://www.helpnetsecurity.com/2026/04/10/april-2026-patch-tuesday-forecast/
