2026年4月15日(日本時間)、Microsoftは月例セキュリティ更新プログラム(Patch Tuesday)を公開し、163件の脆弱性(Critical 8件、Important 154件、Moderate 1件)を修正しました。中でも、オンプレミスのSharePoint ServerでゼロデイCVE-2026-32201の悪用が確認されており、IPAは「至急、セキュリティ更新プログラムを適用してください」と強く呼びかけています。
この記事でわかること:
- CVE-2026-32201(SharePointなりすまし脆弱性)の概要・影響範囲・危険性
- 今月のCritical脆弱性で特に注意すべき2件
- 情シスが今すぐ取るべき対応と優先度の判断基準
何が起きたのか
2026年4月15日のPatch Tuesdayで修正された163件のうち、最も深刻なのはCVE-2026-32201です。Microsoftはこの脆弱性について「悪用の事実を確認済み」と公表しており、いわゆるゼロデイ(パッチ公開前から攻撃に使われていた脆弱性)です。
この脆弱性はオンプレミス版SharePoint Serverに存在するなりすまし(Spoofing)の欠陥で、不正な入力値の検証が不十分なために生じます。CVSSv3.1スコアは6.5(Medium)とMicrosoftの評価は「Important」ですが、認証不要・ユーザー操作不要という攻撃条件の低さと現在進行中の悪用事実が危険度を引き上げています。攻撃者は取得した権限を使いデータ窃取やフィッシングへの転用が報告されています。
米国のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)はCVE-2026-32201をKnown Exploited Vulnerabilities(KEV)カタログに登録(2026年4月14日)し、連邦政府機関に対して2026年4月28日までの対処を義務付けました。
影響を受ける環境は?
CVE-2026-32201の影響範囲はオンプレミス版SharePoint Serverのみです。SharePoint Onlineを含むMicrosoft 365クラウドサービスは対象外とMicrosoftは明言しています。
| 製品 | 影響 |
|---|---|
| SharePoint Server 2016 | あり(パッチ適用が必要) |
| SharePoint Server 2019 | あり(パッチ適用が必要) |
| SharePoint Server Subscription Edition | あり(パッチ適用が必要) |
| SharePoint Online(Microsoft 365) | なし |
「うちはMicrosoft 365だから大丈夫」という判断は正しいです。ただし、社内イントラや文書管理でオンプレ版SharePointをクラウドと併用している組織は改めて確認が必要です。ライセンスコストや可用性の理由でオンプレを維持しているケースほど、パッチ適用計画が後回しになりがちという現実があります。
今回のCritical脆弱性:特に注意すべき2件
Critical 8件の中から、企業インフラへの影響が大きい2件を取り上げます。
CVE-2026-33824:Windows IKEサービスのRCE(CVSS 9.8)
インターネット鍵交換(IKEv2)を使用するWindowsシステムを標的に、未認証の攻撃者が細工したパケットを送るだけでリモートコード実行(RCE)が可能な脆弱性です。今回最高のCVSSスコア9.8を記録しています。
IKEv2はVPN接続などで広く利用されているため、インターネット向けにUDPポート500/4500が開放されているWindowsサーバー(VPNゲートウェイ、リモートアクセス機器)は直接のリスク対象です。ポート公開状況の棚卸しが初動の対応になります。
CVE-2026-33826:Windows Active DirectoryのRCE(CVSS 8.0)
同じActive Directoryドメイン内の認証済みアカウントを持つ攻撃者が、細工したRPC呼び出しでRCEを実現できる脆弱性です(CVSSスコア8.0)。
「認証済みが前提」ですが、フィッシングで侵入した攻撃者がドメインアカウントを入手すれば悪用が可能です。ドメインコントローラーへの影響が生じうる点で、企業インフラ全体の侵害に直結するリスクがあります。Active Directory環境は「取れて当然」という標的になっているという前提でパッチ適用の優先度を考えるべきです。
情シスはどうすべきか
対応の優先度は以下の通りです。
- オンプレSharePoint Serverの確認と優先パッチ適用:SharePoint Server 2016/2019/SEを運用中であれば、今月のパッチ(KB番号はMicrosoft公式を参照)を他案件より優先して適用してください。CVE-2026-32201は悪用が現在進行中です。
- Windows Update・更新管理ツールでの展開確認:クライアントPCは自動更新が効きやすいですが、サーバー製品は管理者が明示的に展開する必要があります。WSUS・Intune・SCCMなど利用中のツールで今月分の展開状況を確認してください。
- IKEv2関連ポートの外部公開状況の見直し:CVE-2026-33824の緩和策として、不要であればUDP 500/4500を外部公開しないよう見直します。VPN機器の公開ポートの棚卸しを兼ねて確認することをお勧めします。
- ドメインアカウントの侵害想定対策:CVE-2026-33826はドメイン内侵害後の横移動で使われうる脆弱性です。特権アカウントの最小権限設定とMFAの徹底が中長期の対策になります。
詳細な適用手順と組織向け展開の要点は、IPAの公式情報を参照してください:
→ IPA「Microsoft 製品の脆弱性対策について(2026年4月)」
現場目線:「ゼロデイが出るたびに至急」の疲労感とどう戦うか
月例パッチのたびに「至急適用を」という通知が届きます。原則としては正しいのですが、オンプレのSharePointやActive Directoryサーバーは「業務アプリが乗っているから再起動できない」「テスト環境なしに本番へ直接当てるのが怖い」という状況が珍しくありません。適用にはシステム保有部門との調整、ユーザーへの事前告知、メンテナンス窓の確保が必要で、「今すぐ」が実際には1〜2週間後になりがちです。
その現実を踏まえつつ、今回のCVE-2026-32201は「現在進行中の悪用」と「CISAのKEV登録・4月28日期限」という2点が揃っています。他の月より一段上げて優先するための経営層・上位者への説明材料としても十分に機能します。「毎月同じ話」という疲労感に流されず、今月は特別扱いする判断を情シスが後押しする役割を担えると理想的です。
まとめ
- 2026年4月のMicrosoft月例パッチは163件(Critical 8件)を修正。CVE-2026-32201(SharePointなりすまし)はゼロデイ悪用確認済みのため、オンプレSharePoint Server運用者は最優先で対応が必要です。
- CVE-2026-33824(Windows IKE、CVSS 9.8)は未認証RCEで今回最高スコア。VPN関連のUDPポートを外部公開するサーバーが直接リスク対象なので、ポート公開状況を確認してください。
- 「毎月同じ話」という流れに乗らず、今月は「ゼロデイ悪用中+CISAのKEV登録」を根拠にスケジュールを前倒しする価値があります。情シスが優先度の根拠を明確に示すことが、現場の実装スピードにつながります。
