今月のパッチチューズデーでは、2つのゼロデイ脆弱性を含む167のセキュリティ脆弱性を修正する予定です。そのうち1つは既に野生下で積極的に悪用されています。
4月はサーバーとエンドポイントからネットワークギア、ブラウザ、モバイルデバイスに至るまで、「スタック全体にパッチを当てる」月になります。しかし、その代わりにドキュメント化された多くの脆弱性を攻撃者のために開いたままにすることになります。
マイクロソフトはゼロデイを「まだ公式なパッチやセキュリティ更新プログラムが利用できないソフトウェアの欠陥」と定義しています。この場合、1つは既に積極的に悪用されており、もう1つは公開されており、両者ともあなたのやることリストの高い優先度になっています。
では、その2つのゼロデイを見てみましょう。
CVE-2026-32201として追跡される脆弱性(CVSSスコア10点中6.5点)は、Microsoft Office SharePointの不適切な入力検証の問題で、認可されていない攻撃者がネットワーク上でなりすましを実行できるようにしています。
この脆弱性を正常に悪用した攻撃者は、機密情報の一部を表示し、開示された情報に変更を加えることができますが、リソースへのアクセスを制限することはできません。簡単に言えば、信頼されたSharePoint環境で偽の情報を広げるのに使用できます。この脆弱性は野生下で悪用されています。
今月の2番目のゼロデイは、CVE-2026-33825として追跡されており、CVSSスコアは10点中7.8点で、Microsoft Defenderのマルウェア対策プラットフォームの権限昇格(EoP)脆弱性です。ローカル攻撃者がシステム権限にエスカレートでき、影響を受けるシステムの鍵を事実上手に入れることができます。そのレベルに達すると、攻撃者はセキュリティツールを無効にし、永続的なマルウェアをインストールし、認証情報を収集し、同じネットワーク内の他のシステムに側方展開することができます。この脆弱性は公開されており、サイバー犯罪者がそれを悪用し始めるための障壁を低くすることがよくあります。
「マイクロソフトはまた、プレビューペインを介して、または悪意のあるドキュメントを開くことによって実行できるMicrosoft Office(WordおよびExcel)の複数のリモートコード実行バグを修正しました。したがって、ユーザーは特に添付ファイルを頻繁に受け取る場合、できるだけ早くMicrosoft Officeの更新を優先する必要があります。」
修正プログラムを適用し、保護されているかどうかを確認する方法
これらの更新はセキュリティ問題を修正し、Windows PCを保護された状態に保ちます。最新の状態であることを確認する方法は次のとおりです:
1. 設定を開く
- スタートボタン(画面の左下にあるWindowsロゴ)をクリックします。
- 設定をクリックします(小さい歯車のような見た目です)。
2. Windows Updateに移動
- [設定]ウィンドウで、Windows Updateを選択します(通常、左側のメニューの下部にあります)。
3. 更新プログラムを確認
- 更新プログラムを確認と表示されているボタンをクリックします。
- Windowsは最新のパッチチューズデーの更新を検索します。
- 最新の更新プログラムが利用可能になったらすぐに入手するを選択した場合、その他のオプションの下にこれが表示される場合があります。
- その場合、再起動が必要というメッセージが表示される場合があります。システムを再起動すると、更新が完了します。
- そうでない場合は、以下の手順に進みます。
4. ダウンロードしてインストール 更新プログラムが見つかった場合、自動的にダウンロードが開始されます。完了すると、インストールまたは今すぐ再起動と表示されたボタンが表示されます。
- 必要に応じてインストールをクリックしてプロンプトに従います。通常、コンピューターは更新を完了するために再起動する必要があります。その場合は、今すぐ再起動をクリックします。
5. 最新の状態であることを再度確認
- 再起動後、Windows Updateに戻り、再度確認します。最新の状態ですと表示されている場合、完了です。
