【セキュリティニュース】2026年4月17日号|Microsoft4月月例パッチで悪用済みゼロデイ2件・Adobe追加修正APSB26-44・ウエーブ17万件情報漏えいの恐れ
secure2026年4月17日(金)号
本日は3本のニュースを取り上げます。Microsoftは4月の月例セキュリティ更新を公開し、167件の脆弱性を修正——うち2件は既に悪用が確認されているゼロデイで、SharePoint Serverとセキュリティ製品Defenderが対象です。AdobeはAcrobat/Readerに対する追加修正APSB26-44を公表、ネット印刷のウエーブ(ウイルコHD子会社)は2025年10月の不正アクセス事案について最大17万6810件の個人情報漏えいの恐れとする確報を公開しました。いずれも中小企業のIT管理者が今週中に確認・対応すべき事案です。
Microsoft/JPCERT/CC/IPA | 2026年4月15日(日本時間)
Microsoft、4月の月例パッチで167件の脆弱性を修正——SharePointとDefenderにゼロデイ2件、いずれも悪用を確認済み
Microsoftは2026年4月15日(日本時間)、月例セキュリティ更新プログラムを公開しました。JPCERT/CC・IPAも同日付で注意喚起を発出しています。CVEベースで163〜167件の脆弱性に対処しており、種別の内訳は権限昇格93件、リモートコード実行20件、情報漏えい21件、セキュリティ機能回避13件、サービス拒否10件、なりすまし8件、メモリ関連2件です。深刻度「緊急(Critical)」に分類されるものは7件含まれています。
このうち2件は、更新公開前に悪用が確認されているゼロデイ脆弱性です。CVE-2026-32201はMicrosoft SharePoint Serverのなりすまし脆弱性で、未認証の攻撃者がネットワーク経由で不正な操作を行える可能性があります。もう1件のCVE-2026-33825はMicrosoft Defenderの特権昇格脆弱性で、ローカル環境でSYSTEM権限が奪取される可能性があります。米国CISAはCVE-2026-32201をKEV(既知悪用脆弱性)カタログに追加し、連邦機関に対して2026年4月28日までの修正適用を求めています。
その他に注意が必要な脆弱性として、Windows Internet Key Exchange(IKE)Server Extensionのリモートコード実行脆弱性 CVE-2026-33824(CVSSスコア 9.8)、Microsoft Wordのリモートコード実行 CVE-2026-33115、リモートデスクトップクライアントのリモートコード実行 CVE-2026-32157、Windows Active Directoryのリモートコード実行 CVE-2026-33826などが公表されています。
▌中小企業への影響
SharePoint Serverを社内で運用している、またはハイブリッド構成でMicrosoft 365と連携させている企業は、なりすまし攻撃により機微情報の閲覧・改ざんが行われるリスクがあります。Defenderのゼロデイはローカル権限昇格のため、初期侵入後の横展開・SYSTEM権限取得に悪用されるパターンが想定されます。Word・Active Directory・リモートデスクトップの脆弱性はオフィス環境の基盤部分であり、修正の遅れは企業全体の安全性に直結します。
▌推奨対応
- Windows Updateを早急に実行し、PC・サーバすべてのOSとOffice製品を最新状態にする
- オンプレ版SharePoint Serverを運用している場合は、CVE-2026-32201の修正を優先して適用する(2026年4月28日を目安)
- Microsoft Defenderのエンジン・定義ファイルを最新化し、CVE-2026-33825に対応した版になっているか確認する
- Active Directoryドメインコントローラー・リモートデスクトップサーバを利用している場合は、メンテナンス計画を組んで優先適用する
- 更新適用後、基幹業務システム・メール・ファイル共有の動作確認を行い、不具合がないかを確認する
Adobe/JPCERT/CC at260011 | 2026年4月15日(日本時間)
Adobe、Acrobat/Readerに追加修正APSB26-44を公開——先週の緊急修正に続く「優先度2」更新、計2件の深刻な脆弱性に対処
Adobeは2026年4月15日(日本時間)、Acrobat/Readerに対する追加のセキュリティアップデート「APSB26-44」を公開しました。JPCERT/CCおよびIPAも同日付で注意喚起を発出しています。同アップデートは計2件の脆弱性に対処するもので、最も深刻な深刻度は「Critical」、Adobeが示すパッチ優先度は「2」(悪用可能性は低いが早期適用を推奨)となっています。
Adobeは4月11日(日本時間)にも緊急アップデートAPSB26-43を公開しており、そちらでは悪用が確認済みのゼロデイ脆弱性CVE-2026-34621(任意コード実行)に対処していました。今回のAPSB26-44はその追加修正であり、APSB26-43を適用済みの環境でも改めて今回のバージョンへの更新が必要です。
対象バージョン(対策前)
| 製品 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Acrobat DC(Continuous) | 26.001.21411 およびそれ以前 | Windows/macOS |
| Adobe Acrobat Reader DC(Continuous) | 26.001.21411 およびそれ以前 | Windows/macOS |
| Adobe Acrobat 2024(Classic) | 24.001.30362 およびそれ以前(Windows)/24.001.30360 およびそれ以前(macOS) | Windows/macOS |
▌中小企業への影響
AcrobatおよびAcrobat Readerは、請求書・契約書・各種書類のPDF閲覧・編集に広く使われており、従業員PCにインストールされている標準ソフトの一つです。悪意あるPDFを開くだけで攻撃が成立するパターンは、メール添付・Web配布を通じて一気に広がる傾向があります。APSB26-43のゼロデイCVE-2026-34621は既に悪用が確認されており、今回の追加修正と合わせて最新版への更新が事実上必須です。
▌推奨対応
- 従業員PCのAcrobat/Readerを最新版(APSB26-44適用後のバージョン)に更新する
- 自動更新が有効になっているか確認する(ヘルプ→アップデートの有無を確認)
- リモートワーク中・長期休暇中のPCを起動した際は、必ずアップデート完了を確認してから業務に使用する
- 社外から受け取るPDFは、メール本文・送信元に不自然な点がないかを事前に確認してから開く運用を徹底する
- 資産管理ツールを導入している場合は、Acrobat/Readerのバージョン一覧を出力し、未更新端末を洗い出す
株式会社ウエーブ/ScanNetSecurity | 2026年4月1日 確報公表
ネット印刷のウエーブ、2025年10月不正アクセスの確報を公表——最大17万6810件の個人情報漏えいの恐れ、入稿データも対象
ウイルコホールディングス連結子会社でネット印刷サービスを提供する株式会社ウエーブは、2025年10月29日未明に検知したサーバーへの不正アクセス事案について、調査結果として最大17万6810件の個人情報が漏えいした可能性を公表しました。同社では2026年4月1日から対象となる顧客への個別メール通知を開始しています。
漏えいの可能性がある情報は、同社の「ウェブアップロードサービス」を利用した顧客のデータで、期間は2010年8月20日から2025年10月30日まで。項目は氏名、メールアドレス、サービス利用ID、印刷入稿データ、EC商材見積書などが含まれます。同社は検知直後にネットワークを切り離し、個人情報保護委員会へ2025年10月31日に第一報を、12月25日に追加報告を、2026年3月25日に確報をそれぞれ提出しました。なお2026年4月1日時点で、実際に情報が外部へ流出した痕跡や、漏えいによる二次被害は確認されていないと説明しています。
▌中小企業への影響
業務で外部のネット印刷サービスを利用している場合、名刺・パンフレット・配布物の入稿データが同様のインシデントで漏えいするリスクがあります。特に入稿データには取引先の氏名・連絡先・価格情報が含まれることが多く、単なるデザインファイルの漏えいにとどまらず、顧客・取引先情報の漏えいへと発展する可能性があります。また、検知から確報までに約5か月を要している点から、被害範囲の確定と顧客通知には相応の時間がかかることも把握しておく必要があります。
▌推奨対応
- 社内で使用している外部ネット印刷サービス・ファイル転送サービス・クラウドストレージを一覧化する
- それぞれのサービスに登録されているアカウント・アップロード履歴・保存データの範囲を棚卸しする
- 当該ウエーブのサービスを利用していた場合は、メール通知の有無を確認し、送付先メールアドレスが有効か確認する
- 入稿データを送る際に、取引先情報が不要に含まれないよう「必要最小限の情報だけを載せる」運用に見直す
- 関連するメールアカウント・サービスIDのパスワード再設定と多要素認証の有効化を行う
編集部まとめ
本日の3本に共通するのは「既に悪用が起きている」「被害実態が後から判明する」という点です。Microsoftの月例パッチでは2件のゼロデイが悪用済みと公表され、とくにSharePoint Serverは米国CISAが4月28日までの修正を求める緊急度になっています。Adobe Acrobat/Readerは先週の緊急修正APSB26-43に続くAPSB26-44の追加修正が公開され、Critical評価の脆弱性2件に対処しました。ウエーブの事案は、不正アクセス検知から確報公表まで約5か月を要したことが、中小企業が外部サービス利用時に検討すべき「情報保管範囲の最小化」の重要性を示しています。
本日のうちに、(1) Windows Update・Office Updateの未適用端末の棚卸し、(2) Adobe Acrobat/Readerのバージョン確認、(3) 外部ネット印刷サービス利用実態の洗い出しの3点を実施することをおすすめします。
参考情報
- Microsoft:2026年4月のセキュリティ更新プログラム(月例)
- IPA:Microsoft製品の脆弱性対策について(2026年4月)
- JPCERT/CC:2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
- Security NEXT:MS、4月の月例パッチで脆弱性167件に対応 - 一部で悪用を確認
- IPA:Adobe AcrobatおよびReaderの脆弱性対策について(2026年4月)_2
- JPCERT/CC:Adobe AcrobatおよびReaderの脆弱性(APSB26-44)に関する注意喚起
- 窓の杜:「Acrobat Reader」に追加の脆弱性修正 〜2026年4月のAdobeセキュリティ情報
- Security NEXT:ネット印刷サービスの侵害、情報流出の可能性 - 入稿データも
