バグニュース

2026年5月のパッチ・チューズデー:ゼロデイ脆弱性は確認されていないが、修正すべき点は多数ある

ピーター・アルンツ| 2026年5月13日
マイクロソフト ロゴ

今月の「パッチ・チューズデー」では、マイクロソフトが「重大」と分類した31件を含む計137件のセキュリティ脆弱性が修正されましたが、実環境で悪用されているゼロデイ脆弱性は確認されていません。

マイクロソフトは、ゼロデイを「公式のパッチやセキュリティ更新プログラムがまだ提供されていないソフトウェアの脆弱性」と定義しています。今月、マイクロソフトは、本報告に含まれる脆弱性が本番環境で悪用されている事例を確認していません。

とはいえ、今回のリリースは決してリスクが低いとは言えません。重大なバグの多くは、Windows 、Office、Azure、SharePoint、およびグラフィックスコンポーネントにおいて、リモートコード実行(RCE)を可能にするものです。つまり、ユーザーを騙して悪意のある文書を開かせたり、悪意のあるサービスに接続させたりした攻撃者は、システムを完全に制御できてしまう可能性があります。

優先的に対処すべき2つの脆弱性

そのリストの中から、問題を引き起こしそうなものを2つ選びました。

まず、CVE-2026-40361です。この脆弱性のCVSSスコアは10点満点中8.4点です。これはMicrosoft Wordにおける重大な「use-after-free」の脆弱性であり、攻撃者が影響を受けるシステム上でローカルにコードを実行できる可能性があります。

「Use-after-free」とは、プログラムの実行中に動的メモリが誤って使用されることによって引き起こされる脆弱性の種類です。メモリ領域を解放した後、そのメモリを指すポインタをクリアしない場合、攻撃者がこの不具合を利用してプログラムを操作できる可能性があります。

つまり、攻撃者がユーザーを説得して悪意のあるWord文書を開かせたり、あるいはファイルをプレビューさせたりするだけで、攻撃者は現在のユーザーの権限で任意のコードを実行できてしまう可能性があります。これだけで、マルウェアのインストール、認証情報の窃取、あるいはネットワーク内への横方向の移動が可能になることがよくあります。

2つ目はCVE-2026-35421(CVSSスコア10点満点中7.8点)です。これは、Windows Device Interface(GDI)における重大なヒープベースのバッファオーバーフローです。バッファオーバーフローは、ソフトウェアアプリケーション内のメモリ領域がアドレス境界に達し、隣接するメモリ領域に書き込みが行われることで発生します。マイクロソフトは次のように述べています:

「この脆弱性が悪用されるには、ユーザーがMicrosoft Paintを使用して、特別に細工された拡張メタファイル(EMF)ファイルを開くか、何らかの方法で処理する必要があります。この操作は、Windows を受けるグラフィック機能を起動するために必要です。」

リアルタイム保護。手間いらず。 

修正プログラムの適用方法と保護状態の確認方法

これらのアップデートはセキュリティ問題を修正し、Windows PCを保護します。ここでは、あなたが最新の状態であることを確認する方法を説明します:

1.設定を開く

  • スタートボタン(画面左下のWindows )をクリックしてください。
  • 設定」をクリックします(小さな歯車のように見えます)。

2.Windows Updateにアクセスする。

  • 設定]ウィンドウで[Windows Update]を選択します(通常、左側のメニューの一番下にあります)。

3.更新を確認する

  • アップデートをチェックする」というボタンをクリックします。
  • Windows 最新のパッチ・チューズデー更新プログラムを検索Windows 。
  • 最新のアップデートが利用可能になり次第すぐに受け取るように設定している場合、「その他のオプション」の下にこの項目が表示されることがあります。
  • その場合、あなたは 再起動が必要です メッセージ。システムを再起動すると、更新が完了します。
    再起動が必要になる場合があります
  • そうでない場合は、以下の手順を続けてください。

4.ダウンロードとインストール更新プログラムが見つかった場合、自動的にダウンロードが開始されます。ダウンロードが完了すると、「インストール」または「今すぐ再起動」というボタンが表示されます。

  • 必要に応じてインストールを クリックし、プロンプトが表示されたらそれに従います。通常、アップデートを完了するにはコンピュータの再起動が必要です。再起動が必要な場合は、[今すぐ再起動]をクリックします。

5.最新情報をダブルチェックする

  • 再起動後、Windows Updateに戻ってもう一度確認する。最新版です」と表示されれば、設定は完了です!
Windows 最新Windows

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
JDownloaderのロゴ

攻撃者は、JDownloaderのインストーラーのダウンロードファイルをマルウェアにすり替えた

5月15, 2026

JDownloaderのウェブサイトがハッキングされ、インストーラーのダウンロードリンクから数日間、マルウェアが配布されていました。

AI
WhatsAppとInstagram

Metaのチャットプライバシーに関する、分かりにくい新たな取り組み

5月15, 2026

WhatsAppは現在、Metaが読み取れないという「消えるAIチャット」機能を提供しています。一方、Instagram 、Metaがメッセージを読み取れないようにしていた機能をInstagram 。

Privacy
Yahoo!メールのロゴ

Malwarebytes 一部のYahoo MailのリダイレクトをMalwarebytes 理由

5月14, 2026

一部のYahoo Mailユーザーは、不審なサードパーティのドメインへのバックグラウンド接続が原因で、Malwarebytes 繰り返し表示される場合があります。その理由をご説明します。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺