「今月の脅威情勢は、単なる理論的脆弱性ではなく、即座かつ実世界での悪用によって定義されている」とインシデント対応マネージャーは述べています。
セキュア通信用のWindows Internet Key Exchangeの重大な脆弱性、Microsoft SharePointで積極的に悪用されているゼロデイ、SAPの製品における重大なSQLインジェクション脆弱性が、IT セキュリティチームから即座の対応が必要な4月のパッチチューズデイリリースの焦点となっています。
「4月の脅威情勢は、単なる理論的脆弱性ではなく、即座かつ実世界での悪用によって定義されている」と、Nightwingの ShadowScoutチームリーダーであるNick Carrollは述べています。「セキュリティチームは、Chrome、Acrobat、SharePointなどの日常的に使用されるアプリケーション内のアクティブなゼロデイを優先し、基本的なCVSSスコアではなく行動的脅威インテリジェンスを使用して、敵対者に先んじることが必要です。」
Carrollは、Microsoftが今月特定した167の問題の中で最も重大なものはSharePoint ServerのCVE-2026-32201であると考えています。これは入力検証の不備により、攻撃者がSharePointになりすましを可能にする可能性があります。その結果、攻撃者は機密の組織情報を表示し、公開されている情報に変更を加えることができます。現在積極的に悪用されています。
TenableのシニアスタッフリサーチエンジニアであるSatnam Narangは、この脆弱性は「デジャヴのように聞こえるかもしれませんが、それはSharePoint Serverの最後のなりすまし脆弱性がゼロデイとして悪用されたのが2025年7月のCVE-2025-49706であり、ランサムウェアとサイバースパイ活動グループによって使用されるToolShellエクスプロイトチェーンの一部であるためです。この最新の脆弱性に関連する実際の悪用についての洞察が不足しており、ToolShellエクスプロイトチェーンに関連しているかどうかは不明ですが、SharePoint Serverが攻撃者にとってどの程度価値のあるターゲットであるかを強調しています。」と述べています。
Immersiveの脅威研究シニアディレクターであるKevin Breenは、SharePointサービス、特に内部ドキュメントストレージとして使用されているサービスは、「データを盗もうとしている脅威アクターにとって宝の山であり、特に身代金の支払いを強制するために活用される可能性のあるデータであり、支払いがない場合は盗まれたデータの公開を脅すことで二重脅迫技術を使用する」ことができると指摘しています。
彼が付け加えたところによると、二次的な懸念は、SharePointサービスへのアクセスを持つ脅威アクターが武装したドキュメントを展開したり、正規のドキュメントを感染した版に置き換えたりする可能性があり、それは他のホストまたは被害者に到達範囲を拡張し、組織全体で横方向に移動するのを許可することです。
優先順位の高い脆弱性
CVSSスケールで9.8の最高評価を受けた脆弱性は、Windows Internet Key Exchange (IKE) Service Extensions(CVE-2026-33824)にあります。これにより、即座にパッチされない限り、脅威アクターはシステム上でリモートコードを実行できる可能性があります。攻撃の複雑性は低く、ユーザー特権は不要です。攻撃者がしなければならないのは、IKEバージョン2が有効になっているWindowsマシンに特別に作成されたパケットを送信することだけです。
影響を受けるのは、Windows Server 2025、Windows Server 2022の23H2エディション(サーバコア インストール)、Windows Server 2019および2016(サーバコア インストール)、およびx64、32ビット、ARMシステム用のWindows 10および11の特定のデスクトップ版です。
セキュリティアップデートをすぐにインストールできないWindowsの管理者は、環境に応じて次の2つの対策のいずれかを取ることができます:
- IKEを使用しないシステムの場合、UDPポート500および4500でのインバウンドトラフィックをブロック;
- IKEが必要なシステムの場合、ファイアウォールルールを設定して、UDPポート500および4500でのインバウンドトラフィックを既知のピアアドレスからのみ許可。
Microsoftは、これらの対策は攻撃面を削減しますが、セキュリティアップデートのインストールに代わるものではないと述べています。
Breenerは、Microsoftがこの欠陥を「悪用の可能性が低い」とマークしていますが、それが悪用可能でないという意味ではないと述べています。彼は、IKEに影響を与えた歴史的なエクスプロイトと概念実証(PoC)があったため、動機のある脅威アクターがこのエクスプロイトも武装化できる可能性があると述べています。
Action1の脆弱性研究ディレクターであるJack Bicerは、戦略的な観点から、IT経営幹部は悪用可能性とエンタープライズ全体への影響の組み合わせにより、IKEの問題と CVE-2026-33826(Active Directoryリモートコード実行脆弱性)の周辺の改善努力を優先すべきだと述べています。
彼は、Active Directoryの脆弱性は「アイデンティティインフラストラクチャへの直接的な脅威を表します。RPC処理での入力検証の不備を悪用することで、認証された攻撃者はドメイン内で任意のコードを実行できます。悪用の低い複雑性とActive Directoryの中央的な役割の組み合わせは、リスクを大幅に増幅します。一度利用されると、この脆弱性は権限昇格を加速させ、完全なドメイン乗っ取りを可能にし、エンタープライズの信頼境界を損なう可能性があります。」と述べています。
Bicerはまた、Windows TCP IPリモートコード実行脆弱性CVE-2026-33827に対しても、より高い悪用複雑性であっても、コアネットワーキング機能全体への到達範囲があるため、即座の注意を払う必要があると述べています。
「これらの日々において、真にリモートTCP/IP脆弱性が見られるのはまれです」とFortraのセキュリティR&D副ディレクターであるTyler Regulyはコメントし、「そしてそれはまさにCVE-2026-33827はIPv6に対する不正なネットワークベースのコード実行です。攻撃の複雑性は、脆弱性がレース条件に基づいており、Microsoftが「追加のアクション」と呼んでいるため高いと記載されていますが、2026年にこれらの脆弱性が特定されるのを見るのは依然として素晴らしいです。」
Breenerのパッチリストで高位にあるもう一つの脆弱性は、CVE-2026-33825(Microsoft Defender権限昇格脆弱性)です。これはMicrosoftによって概念実証付きで公開開示として記載されています。
彼は、権限昇格脆弱性は攻撃者が既にホストマシンへの初期アクセスを獲得した後に一般的に見られると述べており、おそらくソーシャルエンジニアリング攻撃を通じてかもしれません。彼は、権限脆弱性を悪用することで攻撃者がSYSTEMレベルの権限を獲得することができると述べており、これは追加のマルウェアを展開し横方向に移動する前にセキュリティツールとログを無効にするのに十分です。
Breenerはこの脆弱性をMicrosoft Defenderにも影響を与えるが最近公開されたパッチされていないゼロデイのBlueHammerエクスプロイトに関連付けていないことを指摘し、「いずれにしても、Defenderがタイムリーなアップデートを受け取るように適切に設定されていることを確認することは重要であり、少なくとも1つ、おそらく2つの公開された概念実証の存在を考えるとこのサイクルで優先チェックであるべき」と述べています。
チームは対処するために十分なリソースが必要です
Regulyはこの月のCISOが管理者が確認する必要がある膨大な数の項目について心配するかもしれないと述べました。「通常見られないCVEと多くの一度限りのものが多くあります」と彼は述べました。「Windowsアップデートと一部のアプリケーションの自動更新がここでの多くの重労働に対応しますが、この規模のアップデートを展開する前に必要なテストがまだあります。さらに、.NET、SharePoint、SQL Serverのようなものでは、テスト中に発生する可能性のある難しいパッチおよび/またはバージョン互換性の問題が常にあります。
「耐性は今月のキーワードになり、その直後にリソース配分が続きます。このような大規模なパッチドロップと次世代LLMの周辺の会話は、チームへの圧力とそれらが完了することが期待される作業量に気づく必要があることを意味します。セキュリティチームをコストセンターとして見ている場合は、それを再考し始める時であり、データとシステムを保護することをもたらす価値を見ることが必要な時です。大規模なパッチドロップは、チームを確認して十分にリソースが配置されていることを確認する必要があることを意味します。」
パッチボリュームはMythosに関連付けられている可能性があります
元ホワイトハウスサイバーポリシーシニアディレクターで現在はスタンフォード大学国際安全保障協力センターの研究者であるAJ Grottoは、今月特定されたMicrosoft脆弱性167は3月の合計を2倍以上、2月の合計をほぼ3倍にしたことを述べています。
「これらの数字は変動します」と彼は認めたが、「増加は注目に値します。特にAnthropicのMythos LLMが脆弱性の検出に優れているというニュースに照らしています。Microsoftはそのプレビューイニシアチブに参加するようにAnthropicに招待された企業の中にあり、これはMicrosoftのような企業にLLMが一般使用のために展開される前にシステムのパッチを先に取得するという目的です。」
彼は「増加のどの程度がMythosによるのか。そしてMicrosoftの既に脆弱性に満ちた製品での4月の脆弱性の増加が氷山の一角に過ぎないことについてどの程度心配する必要があるか」と思いました。
さらに、Ivantiの製品管理VP であるChris Goettlは、最近パッチされたAcrobat Readerゼロデイ、他の新しく発見された脆弱性、およびMythosの間に接続があることを示唆しました。
「Mythosに関するほとんどのディスカッションは、それがどこで使用されるかとその影響に焦点を当てています」と彼はCSOに語りました。「コード内の悪用可能なエラーを検出することは、コードを書ベンダーがそれをリリースする前に使用する場合、良いための強力なツールになります。しかし、それはまた、研究者と脅威アクターによって既に公開されているコード内のエラーを検出するために使用されます。そしてそれはいるのは私の推測が向けられている場所です。
「MythosのようなMassiveモデルとそれが企業が消費するソフトウェアのための短期および長期的に何を意味するかのノックオン効果を考えてください。短期的には、このようなソリューションを使用している大きなプレーヤーがより安全なコードをリリースしています。研究者と脅威アクターがより堅牢なAIモデルを採用して悪用可能なエラーを特定するにつれて、これはより多くの調整された開示(良い)、ゼロデイ悪用(悪い)およびN日悪用(悪い)をもたらします。すべてこれはより頻繁で、より重要なことに、緊急のソフトウェアアップデートをもたらします。」
重大なSAP脆弱性
別個に、SAPはSAP Business Planning and ConsolidationおよびSAP Business Warehouseの重大なSQLインジェクション脆弱性のパッチを発行しました。脆弱性のあるABAPプログラムにより、低い特権のユーザーは実行される任意のSQLステートメントを含むファイルをアップロードできます。SAP Security Note #3719353(CVSSスコア9.9でタグ付け)は、影響を受けたプログラム内のすべての実行可能なコードを無効化することによって脆弱性をパッチします。
Onapsissによると、一時的な回避策として、SAPはアクティビティ60(アップロード)を持つS_GUI認可オブジェクトをユーザーアカウントから取り消すことを推奨しています。この回避策は影響を受けたユーザーの他のアプリケーション内に副作用をもたらす可能性があり、脆弱性の危機的性質のため、Onapsissはパッチを即座に適用することを強く推奨しています。
SAP Security Note #3731908(CVSSスコア7.1)は、SAP ERPおよびSAP S/4 HANA(プライベートクラウドおよびオンプレミス)内の認可チェック不足脆弱性をパッチします。Onapsissによると、脆弱性により認証された攻撃者は特定のABAPプログラムを実行して、認可なしに既存の8文字の実行可能プログラムを上書きできます。SAPは成功した悪用が可用性に影響を与えると述べており、整合性への限定的な影響は影響を受けたレポートに限定され、機密性は影響を受けません。
