バグニュース

4月のパッチ・チューズデーでは、現在攻撃が行われているものを含む2つのゼロデイ脆弱性が修正されました

ピーター・アルンツ| 2026年4月15日
マイクロソフト ロゴ

今月の「パッチ・チューズデー」では、2件のゼロデイ脆弱性を含む167件のセキュリティ脆弱性への修正が行われる見込みで、そのうち1件は実環境で悪用されていることが確認されています。

そのため、4月は「パッチ・チューズデー」というよりも、サーバーやエンドポイントからネットワーク機器、ブラウザ、モバイルデバイスに至るまで、「スタック全体にパッチを適用する」月と言えるでしょう。しかし、そうしなければ、攻撃者が侵入できる、数多くの既知の脆弱性を放置することになってしまいます。

マイクロソフトは、ゼロデイを「公式のパッチやセキュリティ更新プログラムがまだ提供されていないソフトウェアの脆弱性」と定義しています。今回のケースでは、一方は現在悪用されており、もう一方はすでに公表されているため、どちらも優先的に対処すべき課題となります。

それでは、その2つのゼロデイ脆弱性について見ていきましょう。

CVE-2026-32201CVSSスコア:10点満点中6.5点)として追跡されているこの脆弱性は、Microsoft Office SharePointにおける不適切な入力検証の問題であり、これにより権限のない攻撃者がネットワーク経由でなりすましを行うことが可能となります。

この脆弱性を悪用した攻撃者は、一部の機密情報を閲覧したり、公開された情報を変更したりすることは可能ですが、リソースへのアクセスを制限することはできません。簡単に言えば、信頼されたSharePoint環境内で虚偽の情報を拡散するために悪用される可能性があります。この脆弱性は、すでに実環境で悪用されています。

今月2件目となるゼロデイ脆弱性(CVE-2026-33825、CVSSスコア10点満点中7.8点)は、Microsoft Defenderのマルウェア対策プラットフォームにおける権限昇格(EoP)の脆弱性です。これにより、ローカルの攻撃者は自身の権限をSYSTEMレベルまで昇格させることができ、事実上、影響を受けるシステム上で「王国の鍵」を手にすることになります。 この権限レベルに到達すると、攻撃者はセキュリティツールを無効化したり、永続的なマルウェアをインストールしたり、認証情報を収集したり、さらには同一ネットワーク内の他のシステムへ横方向の移動を行ったりすることが可能になります。この脆弱性は公開されており、サイバー犯罪者が悪用を開始する障壁が低くなる傾向があります。

さらに、BleepingComputerは次のように警告している

「マイクロソフトはまた、プレビュー ウィンドウ経由や悪意のあるドキュメントを開くことで悪用される可能性のある、Microsoft Office(Word および Excel)の複数のリモートコード実行の脆弱性を修正しました。したがって、特に添付ファイルを頻繁に受け取るユーザーは、できるだけ早く Microsoft Office を更新することを優先すべきです。」

修正プログラムの適用方法と保護状態の確認方法

これらのアップデートはセキュリティ問題を修正し、Windows PCを保護します。ここでは、あなたが最新の状態であることを確認する方法を説明します:

1.設定を開く

  • スタートボタン(画面左下のWindows )をクリックしてください。
  • 設定」をクリックします(小さな歯車のように見えます)。

2.Windows Updateにアクセスする。

  • 設定]ウィンドウで[Windows Update]を選択します(通常、左側のメニューの一番下にあります)。

3.更新を確認する

  • アップデートをチェックする」というボタンをクリックします。
  • Windows 最新のパッチ・チューズデー更新プログラムを検索Windows 。
  • 最新のアップデートが利用可能になり次第すぐに受け取るように設定している場合、「その他のオプション」の下にこの項目が表示されることがあります。
  • その場合、あなたは 再起動が必要です メッセージ。システムを再起動すると、更新が完了します。
    再起動が必要です
  • そうでない場合は、以下の手順を続けてください。

4.ダウンロードとインストール更新プログラムが見つかった場合、自動的にダウンロードが開始されます。ダウンロードが完了すると、「インストール」または「今すぐ再起動」というボタンが表示されます。

  • 必要に応じてインストールを クリックし、プロンプトが表示されたらそれに従います。通常、アップデートを完了するにはコンピュータの再起動が必要です。再起動が必要な場合は、[今すぐ再起動]をクリックします。

5.最新情報をダブルチェックする

  • 再起動後、Windows Updateに戻ってもう一度確認する。最新版です」と表示されれば、設定は完了です!
Windows の状態です

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

どのように
自転車店でクリップボードに何かを書いている白人男性

中小企業が見落としがちな3つのサイバーセキュリティリスク

5月3, 2026

中小企業の経営者は、サイバーセキュリティの専門知識がほとんど必要とされない、以下の3つの非技術的なリスクを確実に解消すべきです。

バグ
侵害されたサーバー

悪用されているcPanelの脆弱性により、数百万のウェブサイトが乗っ取りの危険にさらされている

5月1, 2026

cPanel/WHMの管理インターフェースに存在する脆弱性により、攻撃者はユーザー名やパスワードなしでウェブサイトにアクセスできてしまう。

ニュース
PayPal サポートを装った詐欺

PayPal さらに悪用され、テクニカルサポート詐欺が行われている

4月30, 2026

詐欺師たちが、PayPalシステムを悪用して被害者に偽のサポート番号へ電話をかけさせる手口について調査します。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺