信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Microsoft Patch Tuesday 2026年5月——Netlogon CVSS 9.8・Outlookゼロクリックを含む120件超のCVEを解析
2026年5月13日のPatch Tuesdayは120件超のCVEを修正。CVSS 9.8のNetlogon RCE(ワーマブル)・ゼロクリックOutlook RCE・Dynamics 365 CVSS 9.9など企業環境への影響が大きい重大CVEを優先順位付きで解説。
一言結論
2026年5月のPatch Tuesdayは120件超のCVEを修正し、うちNetlogon(CVSS 9.8・ワーマブル)・Outlook Preview Paneゼロクリック(CVSS 8.4)・Dynamics 365(CVSS 9.9)の3件が特に深刻。ゼロデイなしという点では2024年6月以来の記録だが、ワーマブル脆弱性があるため優先度は高い。
何が起きたか
2026年5月13日(日本時間5月14日)、Microsoft が 2026年5月 Patch Tuesday を公開した。
2026年5月 Patch Tuesday 概要:
公開日: 2026年5月13日
修正 CVE 数: 120件超(情報源により 118〜138 件)
深刻度: Critical: 16〜29件、Important: 残余
ゼロデイ: 0件(悪用実績・公開済み脆弱性なし)
特記: ゼロデイ 0 は 2024年6月以来初「修正 CVE 数」が情報源によって異なる(118・120・132・138 件と報告差がある)のは、Chrome など第三者製品の Microsoft アドバイザリ含有有無に起因する。本記事では Microsoft ファースト製品のみを対象とした場合の主要 CVE を解析する。
優先度別 CVE 解析
🔴 最優先(即時パッチ必須)
CVE-2026-41089: Windows Netlogon RCE — CVSS 9.8・ワーマブル
CVE-2026-41089 詳細:
製品: Windows Netlogon(ドメインコントローラー)
種別: スタック型バッファオーバーフロー → RCE
CVSS: 9.8(Critical)
認証: 不要(No Credentials Required)
ユーザー操作: 不要(No User Interaction)
悪用経路: ネットワーク越しに DC に特殊パケットを送信
ワーマブル: ✅(自律拡散が可能)
現況: 悪用実績なし(Patch Tuesday 時点)
ただし「Exploitation More Likely」と評価
攻撃シナリオ:
攻撃者 → [ネットワーク内の Windows Server(DC)を発見]
→ [特殊な Netlogon パケットを送信]
→ [バッファオーバーフロー → 任意コード実行]
→ [DC 権限(Domain Admin 相当)を取得]
→ [次の DC へ横展開(ワーム動作)]ドメインコントローラーを持つ Windows 環境すべてが対象。今月最優先のパッチ適用対象。
CVE-2026-42898: Microsoft Dynamics 365 コード注入 — CVSS 9.9
CVE-2026-42898 詳細:
製品: Microsoft Dynamics 365(オンプレミス)
種別: コード注入 → RCE
CVSS: 9.9(今月最高スコア)
認証: 要(低権限ユーザーで十分)
ユーザー操作: 不要
攻撃: 認証済み攻撃者がリモートからコード実行可能
対象: Dynamics 365 オンプレミス(クラウド版は影響範囲外と報告あり)Dynamics 365 をオンプレミスで運用している CRM・ERP 環境は要注意。
🟠 高優先(1週間以内)
CVE-2026-40361: Microsoft Word/Outlook Preview Pane ゼロクリック RCE — CVSS 8.4
CVE-2026-40361 詳細:
製品: Microsoft Office Word(Outlook Preview Pane 経由)
種別: Use-After-Free → RCE
CVSS: 8.4(Critical)
ユーザー操作: ❌ 不要(Preview Pane が攻撃ベクター)
認証: 不要(メール受信のみで発動)
攻撃シナリオ:
攻撃者 → [悪意ある Word 添付ファイル付きメールを送信]
被害者 → [メールをクリックして選択(開封不要)]
Outlook → [Preview Pane で添付を自動プレビュー]
→ [CVE-2026-40361 が発火 → 任意コード実行]
つまり:
「添付ファイルを開かなくても」被害が発生するPreview Pane 経由のゼロクリックは過去にも繰り返し出現するパターンだ(例: CVE-2023-23397)。フィッシングと組み合わせた標的型攻撃に悪用される可能性が高い。
CVE-2026-41103: Microsoft SSO Plugin (Jira/Confluence) — CVSS 9.1
CVE-2026-41103 詳細:
製品: Microsoft Confluence SAML SSO プラグイン
Microsoft JIRA SAML SSO プラグイン
種別: 認証バイパス(偽造 SAML アサーション)
CVSS: 9.1(Critical)
認証: 不要
ユーザー操作: 不要
悪用経路: ログインフロー中に特殊な SAML レスポンスを送信
→ Microsoft Entra ID 認証をバイパス
→ 任意のユーザーとして Jira・Confluence にサインイン可
評価: 「Exploitation More Likely」企業内の Atlassian 製品(Jira・Confluence)を Microsoft SSO と連携している環境が対象。内部ドキュメント・課題管理システムへの不正アクセスリスク。
🟡 中優先(通常の月次パッチサイクル内)
その他の注目 CVE(概要):
Windows DNS Server RCE (複数件):
CVSS 8.1, ネットワーク経由, 認証不要
DNS サーバーの特殊クエリ処理に脆弱性
Microsoft SharePoint Server RCE:
CVSS 8.8, 認証済み攻撃者が必要
サーバーサイドのデシリアライゼーション問題
Microsoft Visual Studio Code EoP:
CVSS 7.3, ローカル権限昇格
拡張機能インストール時の権限処理の不備
Azure Functions 情報漏洩:
CVSS 6.5
関数の実行コンテキスト外へのデータ漏洩リスク優先度マトリクス
| CVE | CVSS | 種別 | 認証 | ユーザー操作 | ワーム | 優先度 |
|---|---|---|---|---|---|---|
| CVE-2026-41089(Netlogon) | 9.8 | RCE | 不要 | 不要 | ✅ | 🔴 最優先 |
| CVE-2026-42898(Dynamics 365) | 9.9 | RCE | 要(低) | 不要 | ― | 🔴 最優先 |
| CVE-2026-41103(Jira/Confluence SSO) | 9.1 | 認証バイパス | 不要 | 不要 | ― | 🟠 高 |
| CVE-2026-40361(Word/Outlook) | 8.4 | RCE | 不要 | 不要 | ― | 🟠 高 |
| DNS Server RCE(複数) | 8.1 | RCE | 不要 | 不要 | ― | 🟠 高 |
対応アクション
# Windows Update の適用状況確認
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10
# Patch Tuesday 5月のキーパッチが当たっているか確認
# KB5040434 等(具体的な KB 番号は Tenable/CrowdStrike ブログで確認)
Get-HotFix -Id "KB5040434"
# Windows Defender の定義ファイル更新
Update-MpSignature# Linux 上で対象システムを Nmap でスキャン(Netlogon ポート)
# ポート 49152-65535(Netlogon が使用するダイナミックポート)
nmap -p 49152-65535 --script netlogon-brute <target_dc>
# Dynamics 365 オンプレミスの IIS ログで不審なリクエストを確認
Get-Content C:\inetpub\logs\LogFiles\W3SVC1\*.log |
Select-String "dynamics" |
Where-Object { $_ -match "POST.*api" } |
Sort-Object | Get-Unique今月のポイント:ゼロデイ 0 の意義
2024年6月以来初めてゼロデイが 0 件だった。これは珍しい。
ゼロデイが 0 件の意味:
✅ 今月パッチの脆弱性は「現在悪用されていない」
✅ 攻撃者がエクスプロイトを持っていない(少なくとも既知の範囲では)
❌ ただし:
- CVSS 9.8 のワーマブル脆弱性は公開された瞬間から逆算可能
- 「Exploitation More Likely」評価は 48〜72 時間以内の PoC 公開リスクを示唆
- Netlogon は過去(Zerologon/CVE-2020-1472)にも重大脆弱性が出た製品**ゼロデイがないことは「急がなくていい」ではなく「今すぐ当てれば先手を取れる」**ことを意味する。
落とし穴・注意点
- 情報源で CVE 数が異なる: 118〜138 件のばらつきは第三者製品の算入差。自社インベントリで Microsoft 製品を絞り込んで確認
- Dynamics 365 はクラウド版が対象外の可能性: CVE-2026-42898 はオンプレミス版が主対象との報告があるが、公式アドバイザリを確認すること
- Jira/Confluence SSO プラグインは Atlassian 製品ではなく Microsoft 製: 「Microsoft SAML SSO Plugin for Jira」として Microsoft が提供しているプラグイン。Atlassian 自体の脆弱性とは別
- Windows 11 May 2026 Update とは別の変更: 2026年5月12日の Windows 11 May 2026 Update では WSL 高速化・ドライバー信頼ポリシーなど開発者向け変更が含まれる。Patch Tuesday はそれとは別の セキュリティ修正に焦点を当てたもの
まとめ
| 対象環境 | 最優先アクション |
|---|---|
| Active Directory ドメインコントローラー | CVE-2026-41089(Netlogon)を即時パッチ |
| Dynamics 365 オンプレミス | CVE-2026-42898 を即時パッチ |
| Outlook ユーザー全員 | CVE-2026-40361(Word)を即時パッチ。Preview Pane 無効化を一時対策として検討 |
| Jira/Confluence(Microsoft SSO 使用) | CVE-2026-41103 のプラグイン更新を1週間以内に |
| DNS サーバー | DNS RCE パッチを2週間以内に |
ゼロデイなしで済んだ今月だが、Netlogon のワーマブル脆弱性は最大のリスクだ。Zerologon(2020年)が証明したように、Netlogon の重大脆弱性は横展開・ランサムウェアに直結する。DC へのパッチ適用と NLA(ネットワークレベル認証)の有効化を今週中に完了させることを強く推奨する。
参考リンク
- May 2026 Microsoft Patch Tuesday - Tenable
- Microsoft Patches 138 Vulnerabilities - The Hacker News
- Microsoft Patches Critical Zero-Click Outlook Vulnerability - SecurityWeek
- May 2026 Patch Tuesday Analysis - CrowdStrike
- Microsoft Patch Tuesday May 2026 - SANS Internet Storm Center
- Patch Tuesday, May 2026 Edition - Krebs on Security
- r/programming: May 2026 Patch Tuesday discussion
免責: 本記事の CVE 数・スコアは複数の情報源の統合。公式の Microsoft セキュリティアップデートガイド(MSRC)で確認の上、パッチ適用判断を行うこと。Dynamics 365 クラウド版の適用範囲については公式アドバイザリを要確認。