Microsoft 2026年5月 Patch Tuesday——脆弱性120件修正、ゼロデイなし（2024年6月以来初）、VS Code 攻撃面が顕著

概要

Microsoft は2026年5月12日（米国時間）、定例セキュリティ更新（Patch Tuesday）を公開した。修正対象の脆弱性は計120件で、うち17件がクリティカル（深刻度最高）。17件のクリティカルのうち14件はリモートコード実行（RCE）脆弱性で、攻撃者が悪意あるコードを遠隔から実行できる可能性を持つ。ゼロデイ脆弱性（既知・悪用済みの脆弱性）はゼロで、これは2024年6月以来のゼロデイなし月となった。また、AI コーディング環境として普及した Visual Studio Code（VS Code）の攻撃面（アタック・サーフェス）が顕著になっている点が専門家から指摘されている。

事実のポイント

• 修正脆弱性総数: 120件（2026年5月12日公開）
• クリティカル: 17件（うち14件が RCE・リモートコード実行）
• ゼロデイ（既知・悪用済み）: 0件（2024年6月以来初のゼロデイなし月）
• 主要な影響製品: Windows、Office、Azure、Visual Studio Code、Microsoft Edge
• VS Code 関連の脆弱性が複数含まれており、AI コーディングツールとしての普及拡大が攻撃者の標的拡大につながる構造が指摘された
• 企業のセキュリティ担当者には今月中の適用が強く推奨されている

用語・背景の補足

Patch Tuesday（パッチ・チューズデー） は Microsoft が毎月第2火曜日に公開する定例セキュリティ更新プログラム。Windows・Office・Edge・Azure 等の製品の脆弱性を一括修正する。企業の IT 部門はこの更新を管理し、計画的にシステムに適用する運用が一般的。

ゼロデイ脆弱性（Zero-Day Vulnerability） は、ベンダーが修正パッチを公開する前に攻撃者によって悪用された（または悪用可能なことが公知になった）脆弱性。ゼロデイがない月は比較的「落ち着いた」更新月と評価される。

RCE（Remote Code Execution・リモートコード実行） は、攻撃者がネットワーク越しに標的のシステムで任意のコードを実行できる脆弱性の種類。被害が最も深刻な種別の一つで、クリティカル評価が付くことが多い。

VS Code の攻撃面拡大: GitHub Copilot・Claude Code・Cursor 等のAI コーディング拡張機能の普及により、VS Code は開発者環境のデファクト標準になっている。攻撃者はこの普及を利用した悪意ある拡張機能・プラグイン経由の攻撃を試みることがあり、エコシステムの拡大に伴う新たなリスクが生まれている。

注意点

• ゼロデイがないことは「脅威がない」ことではなく、今月公開された RCE 脆弱性は今後悪用される可能性がある
• 企業環境では更新適用前のテスト・本番展開サイクルがあるため、迅速な適用と計画的なパッチ管理の両立が求められる
• VS Code の拡張機能（プラグイン）は Microsoft が直接管理しない第三者製品も多く、Marketplace での審査が限定的な点に留意が必要

編集部見解

AI コーディングツールとして VS Code の利用が急拡大したことで、開発環境がサイバー攻撃の新たな標的になりつつある。AI 開発ツールの導入・管理を担当する IT 部門にとっては、従来の OS・Office パッチ管理に加え、開発者ツールのエコシステム（拡張機能・プラグイン）も管理対象として認識することが求められる。月例パッチの定期適用は企業セキュリティの基本であるが、今月のように RCE が14件含まれる月は特に優先適用を検討したい。