Microsoft 4月パッチ168件、SharePointゼロデイ実攻撃中
Microsoft は米国時間 2026年4月14日、月例セキュリティ更新プログラム「April 2026 Patch Tuesday」を公開し、168件の脆弱性を一括で修正した。これは同社史上2番目に大きな月次リリースで、1位である2025年10月(167件)をわずかに上回る規模である。中でも衝撃的だったのは、**SharePoint Server のなりすまし脆弱性 CVE-2026-32201 が「Exploitation Detected」(実攻撃を確認)**とマークされ、CISA(米サイバーセキュリティ・インフラストラクチャ庁)が即座に Known Exploited Vulnerabilities(KEV)カタログ に追加、連邦民間行政機関(FCEB)に対し 2026年4月28日までの適用または運用停止 を命じたことだ。
加えて、CVSS 9.8 の Windows IKE Service Extensions RCE(CVE-2026-33824)、wormable 認定された Windows TCP/IP RCE(CVE-2026-33827)、公開済み PoC を持つ Microsoft Defender 権限昇格(CVE-2026-33825) という、それぞれ単独でも月の目玉となるレベルの脆弱性が同時に降ってきた。本記事では BleepingComputer、The Hacker News、SecurityAffairs、Trend Micro ZDI、Tenable、Microsoft MSRC の各ソースをクロスリファレンスし、日本のオンプレ SharePoint 運用組織が今すぐ取るべき行動まで踏み込んで解説する。
168件の内訳 — 権限昇格が過半数
まずは規模感を掴むために、4月リリースで修正された脆弱性を種類別に見ていこう。
この図は Microsoft Security Update Guide、BleepingComputer、Tenable 各社の集計をベースにした内訳です。注目すべきは 権限昇格(Elevation of Privilege)が93件で全体の約55% を占める点で、Tenable の分析でも EoP は 57.1% と報告されている。近年の攻撃シナリオが「初期侵入後に SYSTEM や Domain Admin へ昇格する」局面を重視していることが、Microsoft 側の修正件数にもそのまま反映されている。
重要度別では Critical が8件(RCE 7件、DoS 1件)、Important が 154件、Moderate が 1件。Critical の中でも特に危険とされるのは後述する IKE と TCP/IP の RCE で、どちらも認証不要・ネットワーク経由で発火する。Trend Micro ZDI は今月のリリースを「AI ツールによる脆弱性提出が3倍に膨れ上がったことが、リリースサイズ過去2位の要因」と分析しており、AI 支援型バグハンティングの影響がパッチ件数そのものを押し上げる 新しい時代が始まっていることを裏付ける。
最重要4件の比較表
今月は「どれから手を付けるか」が最大の論点になる。主要4CVE を比較したのが次の表だ。
| CVE | 対象コンポーネント | CVSS | 種別 | 悪用状況 | 優先度 |
|---|---|---|---|---|---|
| CVE-2026-32201 | SharePoint Server 2019 / SE | 6.5 | なりすまし | 実攻撃中(KEV収録) | 最優先 |
| CVE-2026-33824 | Windows IKE Service Extensions | 9.8 | RCE(wormable) | 未観測/Exploitation More Likely | 最優先 |
| CVE-2026-33827 | Windows TCP/IP | 8.1 | RCE(IPv6+IPSec でwormable) | 未観測 | 高 |
| CVE-2026-33825 | Microsoft Defender | 7.8 | 権限昇格 | PoC公開済み | 高 |
CVSS 単独で並べると SharePoint の 6.5 は見劣りするが、「既に攻撃されているか」が優先度決定の最大要素である。以下、個別に深掘りする。
この図は Microsoft MSRC、ZDI、Tenable、SecurityAffairs のガイダンスを総合して各CVE を二軸マップに落としたものです。右上象限(高CVSS×高悪用リスク)に位置する CVE-2026-33824 と、低CVSS ながら「実攻撃中」によって最優先扱いとなる CVE-2026-32201 が、今月の双璧となる。
CVE-2026-32201:SharePoint オンプレの悪夢再び
CVE-2026-32201 は SharePoint Server 2019 および SharePoint Server Subscription Edition(SE)に存在する improper input validation(不適切な入力検証) を突いたなりすまし脆弱性だ。CVSS は 6.5 と中程度だが、The Hacker News および SecurityAffairs の報道では 攻撃者が認証済みユーザーになりすまして機密情報を閲覧し、さらに開示された情報を改竄できる ことが確認されている。Microsoft の Advisory には明確に「Exploitation Detected」と記載され、これはおそらく 2025年の「ToolShell」攻撃キャンペーン(CVE-2025-53770 等)で SharePoint オンプレが標的にされた流れの延長線上にある。
CISA は同脆弱性を KEV カタログに追加し、BOD 22-01 に基づいて連邦民間行政機関に 2026年4月28日までの修正または該当システムの停止 を義務付けた。これはオンプレ SharePoint を使う全組織への強烈なシグナルである。なお SharePoint Online(Microsoft 365)は影響を受けない 旨が Microsoft から明示されており、クラウド版ユーザーは追加アクションなしで済む。
この図は BleepingComputer および ZDI のテクニカル分析を参考に、典型的な攻撃キルチェーンを4ステップで可視化したものです。偵察からなりすまし、文書窃取、さらに今月修正された他 CVE との連鎖による横展開までが現実的なシナリオとなる。
CVE-2026-33824:IKE に潜んだ CVSS 9.8 の wormable RCE
Windows IKE Service Extensions の CVE-2026-33824 は、今月のスコア最高値となる CVSS 9.8 の RCE だ。Trend Micro ZDI は「今月2件目の wormable バグ」と位置付けており、認証不要・ユーザー操作不要でネットワーク越しにコード実行が可能。同社は境界での暫定緩和策として UDP ポート 500 および 4500 のブロック を推奨している。これらは IKEv1/IKEv2 の鍵交換に使われるため、IPSec VPN を運用している組織では完全遮断ができないケースもあり、その場合は優先的なパッチ適用が唯一の解となる。
IKE は歴史的にコード行数に対してバグ密度が高いプロトコルで、2022年の CVE-2022-34721/34722(同じく IKE の CVSS 9.8 RCE)も記憶に新しい。内部脅威(社員端末からの横展開)でも悪用可能な点が厄介で、境界ブロックで安心せず全 Windows Server/クライアントに適用する のが正解だ。
CVE-2026-33827:IPv6+IPSec 構成で wormable となる TCP/IP RCE
CVE-2026-33827 は Windows TCP/IP スタックの RCE で CVSS 8.1。IPv6 と IPSec が有効な環境では wormable 扱い となる。SecurityAffairs は「ネットワーク全体に自己伝播する前に攻撃の表面化が起きかねない」と警告している。近年の Windows 環境は IPv6 がデフォルト有効であり、Active Directory ドメイン環境では IPSec が使われることも多いため、「うちは IPv6 使っていないから大丈夫」という思い込みは危険。現場調査ではほぼ確実に IPv6 が動いていると考えてよい。
CVE-2026-33825:Defender の権限昇格、PoC 公開済み
CVE-2026-33825 は Microsoft Defender における権限昇格脆弱性で CVSS 7.8。Microsoft の advisory によれば 既に PoC が公開済み(Publicly Disclosed) で、悪用に成功すれば攻撃者は SYSTEM 権限を奪取できる。皮肉にも「守るためのエンドポイント保護ソフト」が攻撃のステッピングストーンになるわけだ。修正は Antimalware Platform バージョン 4.18.26030.3011 以降で配布され、通常は自動更新で配られるが、オフライン端末や閉域網の EDR は手動確認が必要となる。
筆者の所感:WSUS / Intune での展開順序を考える
私は実務でパッチ適用を運用する立場から、今月の展開順序を次のように組み立てるのが合理的だと考える。
第1波(公開から 24〜48 時間以内): インターネット公開されている SharePoint Server 2019/SE への CVE-2026-32201 適用を最優先。Microsoft Update Catalog から KB を直接取得してテスト機に適用し、SSRS や Office Online Server との互換性を軽く確認したうえで即日ロールアウトする。WSUS 承認を待つ時間はない。CISA の期限(4月28日)から逆算すると、テスト+本番で 約2週間しか猶予がない。
第2波(72 時間以内): Domain Controller および DMZ の VPN/IPSec 終端サーバーに CVE-2026-33824(IKE)および CVE-2026-33827(TCP/IP)を適用。これらは Windows Server の月例累積更新(LCU)に含まれるため、既存の WSUS 承認ルールが走っていれば自動展開されるが、「念のため一週間待機」設定をしている組織は今月だけ例外化すべきだ。
第3波(1週間以内): 全 Windows 10/11 クライアントに LCU 適用、Defender の Antimalware Platform 更新を Intune 経由で配信。クライアントは Autopatch 対象であれば Microsoft 側が優先度判定してくれるが、オンプレ AD/ConfigMgr 運用の組織は手動で順序を決める必要がある。
SharePoint Online ユーザーへの影響はゼロ という点は改めて強調したい。Microsoft 365 の SharePoint はマルチテナントで Microsoft 側が既にパッチ適用済みであり、テナント管理者側の追加作業はない。これは 2021年 Exchange Online が ProxyLogon 直撃を免れたのと同じ構図で、クラウドシフトがリスクを劇的に下げる 実例として社内説得に使える材料になる。
なお、パスワードや API キーの保管には 1Password のようなエンタープライズ向けパスワードマネージャーを併用し、万一 SharePoint から認証情報が漏洩した場合でも横展開を防ぐ「多層防御」の設計を改めて見直してほしい。
日本での影響:オンプレ SharePoint 運用組織は特に危険
日本では、JPCERT/CC および IPA(情報処理推進機構)がこの Patch Tuesday に合わせて4月15日付で注意喚起を出すのが恒例だが、今月は特に SharePoint Server への言及が厚くなることが予想される。日本企業、とりわけ製造業・金融・官公庁では依然として SharePoint Server 2019 または SE をオンプレ運用している組織が多く、設計図書・契約書・人事情報といった最も機密性の高い文書がこれらのサーバーに集約されているケースが少なくない。
CISA の KEV 対応義務は米国連邦機関のみだが、日本でもサイバーセキュリティ基本法および政府機関等の情報セキュリティ対策のための統一基準群 を根拠に、実質的に同等の対応を求められる。民間でも PCI DSS や ISMS 認証を維持する組織は「合理的な期間内のパッチ適用」を監査で問われるため、KEV 収録は即座に是正対象となる。
また、日本特有の問題として 「ベンダーロックインによる改修遅延」 がある。SharePoint 上に独自開発されたワークフロー(稟議、経費精算、設計レビュー等)が動いている組織では、「パッチを当てるとアドオンが壊れるかもしれない」という理由で適用が後回しになりがちだ。しかし今回は 悪用が確認済みのゼロデイであり、「壊れるリスク < 侵害リスク」の天秤が確実に後者に傾いている。
筆者の予測:SharePoint オンプレの終わりの始まりか
率直に言えば、SharePoint Server オンプレの新規導入は もはや合理的な選択肢ではない。2025年の ToolShell、そして今回の CVE-2026-32201 と、18か月で2度もゼロデイで破られたプロダクトを社内の中核文書基盤に据え続ける合理性は薄い。Microsoft 自身も SharePoint SE を最後にオンプレ版のロードマップを明確に示しておらず、実質的に「SharePoint Online(Microsoft 365)への移行を促す」方針が見え隠れする。
短期的にはパッチ運用を厳格化しつつ、中期的には Microsoft 365 移行プロジェクトを計画化 するのが現実解となる。移行が難しい規制業界向けには Microsoft 365 Government Community Cloud(GCC)や、国内では Microsoft Cloud for Sovereignty(主権クラウド)の選択肢が徐々に整いつつある。
AI によるパッチ管理自動化も進展しており、Microsoft Intune Suite の Endpoint Privilege Management や、サードパーティの Automox / Tanium / Qualys VMDR などが KEV カタログと連動して自動的に優先度を引き上げる機能 を強化している。2026年後半には「Patch Tuesday 当日中に CVSS と KEV を見て自動ロールアウト判定する」運用が主流になるだろう。
まとめ:今すぐ取るべき3つのアクション
- インターネット公開 SharePoint Server 2019/SE を棚卸し、4月累積更新(CVE-2026-32201 対応)を 2026年4月28日までに適用。適用できない場合は WAF で
/auth.aspxや/_api/エンドポイントへの異常リクエストを遮断し、EDR でプロセスツリーの異常を監視する。 - Windows Server/クライアント全台に LCU を適用し、CVE-2026-33824(IKE)と CVE-2026-33827(TCP/IP)を塞ぐ。VPN 集約装置は UDP 500/4500 を不要な送信元から遮断。Defender は Antimalware Platform 4.18.26030.3011 以降であることを確認。
- 中期的には SharePoint Online / Microsoft 365 への移行ロードマップを作成し、AIパッチ管理ツール(Intune Autopatch、Automox 等)を導入して、次回以降の KEV 収録時に自動的に優先度が跳ね上がる運用基盤を整える。
今月の Patch Tuesday は「パッチ適用の速度が企業価値に直結する時代」を象徴するイベントとなった。CISA の28日期限は米国連邦向けだが、日本の民間企業にとっても事実上のベンチマーク と捉えるべきだろう。
1Password のようなエンタープライズ向けのシークレット管理基盤と、厳格なパッチ運用、そしてクラウドシフトの3点セットが、今後のランサムウェア・国家支援型攻撃に対する最低防衛ラインとなる。
「セキュリティ」カテゴリの記事
- セキュリティ
Axios CVSS 10.0脆弱性——Prototype PollutionからRCE・クラウド乗っ取りへ
- セキュリティ
FBIがW3LLフィッシング帝国を壊滅——$20M詐欺を支えたPhaaS開発者を逮捕
- セキュリティ
FortiClient EMSにCVSS 9.1のゼロデイ——認証不要で任意コード実行
- セキュリティ
Smart Slider 3 Proが乗っ取られた——90万サイトに迫るバックドアの全貌
- セキュリティ
Marimo脆弱性CVE-2026-39987——公開10時間でroot奪取が始まった
- セキュリティ
偽WhatsAppアプリでスパイウェア配布——イタリア企業SIOが200人を標的に