2026年4月「パッチチューズデー」：Microsoftが167件の脆弱性を修正、Chromeもゼロデイ攻撃を緩和

Microsoft、167件の脆弱性を修正 — SharePoint Serverのゼロデイを含む

Microsoftは2026年4月の「パッチチューズデー」として、Windows OSおよび関連ソフトウェアに存在する167件のセキュリティ脆弱性を修正する緊急アップデートをリリースした。このうち、SharePoint Serverのゼロデイ（CVE-2026-32201）とWindows Defenderの権限昇格バグ「BlueHammer」（CVE-2026-33825）が特に注目を集めている。

SharePoint Serverのゼロデイ（CVE-2026-32201）

Microsoftによると、CVE-2026-32201は、攻撃者がネットワーク経由で信頼できるコンテンツやインターフェースを偽装できる脆弱性だ。Action1の社長兼共同設立者であるMike Walters氏は、「この脆弱性を悪用すれば、従業員やパートナー、顧客をだますフィッシング攻撃や、不正なデータ操作、さらにはソーシャルエンジニアリングキャンペーンに悪用される可能性がある」と指摘する。既に実証コードが公開されており、攻撃が活発化していることから、組織のリスクは大幅に増加している。

BlueHammer（CVE-2026-33825）の影響

「BlueHammer」は、Windows Defenderの権限昇格バグであり、発見者のWill Dormann氏（Tharros上級主任脆弱性アナリスト）によると、Microsoftへの通知後も十分な対応がなかったため、公開された実証コードが機能しなくなったという。同氏は、本日リリースされたパッチを適用すれば、BlueHammerの脆弱性は修正されるとしている。

Google Chrome、4件目のゼロデイを修正

Microsoftと同時に、Google Chromeも4件目のゼロデイ脆弱性（CVE-2026-5281）を修正するアップデートをリリースした。この脆弱性は高重大度とされ、リモートコード実行の可能性があった。Chromeのアップデートは、今月発表された21件のセキュリティホール修正の一環だ。

Adobe Readerの緊急アップデートも実施

Adobeは4月11日に緊急アップデートをリリースし、CVE-2026-34621と呼ばれるゼロデイ脆弱性を修正した。Tenableの上級スタッフ研究エンジニアであるSatnam Narang氏によると、この脆弱性は少なくとも2025年11月から悪用されていた可能性があるという。

「パッチチューズデー」史上2番目の規模に

TenableのNarang氏は、Microsoftの4月のパッチリリースが「史上2番目に規模の大きいもの」であったと指摘する。また、Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は、Microsoftが修正した60近くのブラウザ関連脆弱性について、「この分野における新記録」と述べた。

Barnett氏は、先週発表されたAnthropicの新AI機能「Project Glasswing」との関連性についても言及したが、Microsoft EdgeがChromiumエンジンを採用していることから、Chromiumの脆弱性修正が反映されている可能性が高いと説明する。同氏は、「AIモデルの拡張に伴い、脆弱性報告件数は今後さらに増加するだろう」と予測している。

ブラウザの再起動が重要に

セキュリティ専門家は、ブラウザを完全に閉じて再起動することの重要性を強調する。特に多数のタブを開いている場合、アップデートの適用が後回しにされがちだが、再起動こそが最新のセキュリティパッチを確実に適用する唯一の方法だという。例えば、今月リリースされたChromeのアップデートでは、21件のセキュリティホールが修正されており、そのうちの1つは高重大度のゼロデイ（CVE-2026-5281）であった。

各パッチの詳細については、SANS Internet Storm Centerのパッチチューズデーまとめを参照されたい。

まとめ

2026年4月の「パッチチューズデー」では、Microsoft、Google、Adobeが相次いで重大なセキュリティ脆弱性を修正した。特にSharePoint ServerのゼロデイとBlueHammerは、組織にとって深刻なリスクとなる可能性がある。専門家は、ブラウザの再起動を含む迅速なアップデート適用を呼びかけている。