チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「Microsoftの5月Patch Tuesdayで137件もCVEが出たって、結局どれから優先して当てればいいの?」
「AIが脆弱性を見つけたという話も出ているけれど、攻撃側だけでなく防御側のAI活用は実用段階に入っているの?」
チップス毎月の月例更新だけど、今月は特に多い気がするでしゅ……。
ボスふふふ。今月は件数だけでなく、AIが見つけた脆弱性が含まれている点でも転換点となる更新だな。注目すべきポイントを順に見ていこう。
Microsoftは2026年5月のPatch Tuesdayで137件のCVEを修正し、IPAも5月13日付で関連注意喚起を公開しました。
同社が公開したAIシステム「MDASH」が16件の発見に貢献し、ゼロデイは含まれないものの重大なRCEが複数含まれます。
本記事では適用優先度の高い脆弱性と、AI活用が変える脆弱性管理の今後を整理します。
件数が多い月こそ、優先順位を取り違えると後手に回ります。
業務インパクトと攻撃の現実性から、何を先に当てるべきかを整理します。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
まずは公表内容を俯瞰し、件数と注目すべきカテゴリを押さえます。
Microsoftは5月12日に137件のCVEを公開し、うち14件をCriticalに分類しました。
ゼロデイは2024年6月以来となるゼロ件で、CISA KEVへの即時追加もありません。
一方で「悪用される可能性が高い」とMicrosoftが評価した脆弱性が13件含まれており、IPAも注意喚起を発出しています。
注目度が特に高い脆弱性は以下のとおりです。
| CVE | 製品 | 種別 | CVSS |
|---|---|---|---|
| CVE-2026-42898 | Dynamics 365 on-premises | RCE | 9.9 |
| CVE-2026-33824 | Windows IKEv2(ikeext.dll) | RCE(ダブルフリー) | 9.8 |
| CVE-2026-40403 | Windows Win32K-GRFX | RCE | 8.5 |
| CVE-2026-33827 | Windows TCP/IP(tcpip.sys) | RCE(レース) | 8.1 |
| CVE-2026-32175 | .NET Core | 改ざん | 7.5 |
チップスCVE-2026-42898はCVSS 9.9でしゅ!Dynamics 365を使ってる企業は本当に急ぎでしゅ!
業務影響の観点では、外部公開のあるDynamics 365 on-premisesのRCE(CVE-2026-42898)と、Word RCE 4件への対処が最優先です。
続いてIKEv2を有効化したVPN終端のWindowsサーバ、IPv6+IPSec環境のサーバが対象です。
これらはエッジから侵入経路となり得るため、業務時間帯であってもメンテナンスウインドウを前倒しする判断が現実的です。
次に、MicrosoftがAIシステム「MDASH」を公開した意義と、企業側に起きる変化を見ていきます。
MDASHはMicrosoftが内部で運用するマルチモデルAIシステムで、5月Patch Tuesdayで修正された16件の脆弱性発見に貢献しました。
対象はWindowsネットワーキングと認証スタック全般に広がっており、ikeext.dllのダブルフリーやTCP/IPのレースコンディションなどメモリ安全性に関わる問題が含まれます。
これらは人手のレビューでは見落とされやすい類型で、AIによる網羅探索の強みが発揮された事例です。
ボス攻撃側でAIが活用されるなら、防御側でもAIで先回りする。これからの脆弱性管理の本流になる視点だな。
AIによる脆弱性発見が当たり前になると、月例更新で公開されるCVE数は今後さらに増加する見込みです。
そのためベンダー任せの月一適用ではなく、リスク評価から段階リリースまでを自動化するパイプライン整備が重要になります。
EDR・WSUS・SCCM/Intuneの組み合わせを見直し、Criticalは48時間以内に展開できる体制を目標にしたいところです。
運用面の改善ポイントは次のとおりです。
詳細な一次情報はIPAの注意喚起とThe Hacker Newsの記事から確認できます。
2026年5月のPatch Tuesdayは、件数の多さに加えてAIによる脆弱性発見という新しい潮流を示しました。
Dynamics 365、Word、Windowsネットワークスタックの重大RCEが含まれており、攻撃側がAIで悪用パターンを生成する前に確実な適用が求められます。
月例更新を「ベンダー任せのイベント」から「自動化された継続プロセス」へと変えていくことが、AI時代の競争力になります。
チップスCritical 48時間ルール、社内に提案してみるでしゅ!
ボスその通りだ。基準を明文化することで、いざという時の判断スピードが変わる。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
