Microsoft Defenderの2件がKEV追加：端末保護の更新確認と初動対応

冒頭要約

2026年5月、CISAのKnown Exploited Vulnerabilities（KEV）Catalogに、Microsoft Defender関連の CVE-2026-41091 と CVE-2026-45498 が登録されました。現時点で公開情報から確認できる範囲では、どちらも「端末保護が入っているから安全」と見なさず、エンジン更新、Defender for Endpointの状態、例外端末、ログ確認を同時に見るべき案件です。

最初にやるべきことは、対象端末がDefenderの最新エンジン・プラットフォーム・定義を受け取っているかを確認し、更新が止まっている端末を分けることです。次に、EDRアラート、隔離イベント、保護機能の無効化、ポリシー例外、管理外端末を確認します。

この記事では、攻撃手順や検証コードには触れず、防御側が実務で確認すべき項目と、情シス・SOC・端末管理者の初動判断を整理します。

---

何が起きたか

CISA KEVは、実際の悪用が確認された脆弱性を優先的に扱うためのカタログです。2026年5月に登録されたCVE-2026-41091はMicrosoft Malware Protection Engine、CVE-2026-45498はMicrosoft Defender for Endpointに関係する脆弱性として整理されています。

ここで重要なのは、Defenderが「守る側の製品」だからといって、運用確認を省略しないことです。エンドポイント保護製品は、端末上で高い権限を持ち、更新、検知、隔離、ログ収集、ポリシー適用を担います。防御基盤に関わる脆弱性では、アプリケーション単体の更新よりも、全端末へ更新が届いているか、保護機能が有効なままか、例外や管理外端末が残っていないかが実務上の焦点になります。

影響を受ける可能性がある組織・担当者

次のいずれかに当てはまる組織は、確認対象に入れます。

読者	まず確認すること	見落とすと起きること
情シス・端末管理者	Windows端末のDefenderエンジン、定義、プラットフォーム更新の状態	一部端末だけ更新が止まり、保護対象外として残る
SOC・CSIRT	Defender for Endpointのアラート、隔離、保護無効化イベント	悪用兆候や保護機能の停止を通常ノイズとして見落とす
開発者・SRE	CI端末、ビルド端末、管理者端末、検証VMの保護状態	シークレットや管理者権限を持つ端末が例外のまま残る
SaaS管理者	Microsoft 365、Intune、Defenderポータルの端末一覧	管理外端末や退職者端末が更新対象から外れる

個人PCの話に見えても、業務端末、VDI、共有端末、キオスク端末、検証用VM、サーバー管理端末まで含めて見る必要があります。

なぜ重要か

Defender関連の脆弱性は、単に「更新ボタンを押す」だけでは完了判断が難しい分野です。DefenderエンジンやDefender for Endpointは、Windows Update、Microsoft Update、Intune、Configuration Manager、WSUS、プロキシ、ネットワーク制限、サードパーティEDRとの共存設定など、複数の経路に影響されます。

実務上の事故は、脆弱性そのものよりも次のような運用の隙間から起きます。

• 一部の端末がVPN外・社外・長期オフラインで更新を受け取っていない。
• 検証用端末やサーバー管理端末だけDefenderが無効化されている。
• 例外設定、除外パス、Tamper Protection、EDRブロックモードの扱いが曖昧になっている。
• 更新済み端末と未確認端末を同じ「対応済み」に入れてしまう。
• 端末保護のログとIdP・SaaS・メールのログが別々に見られている。

まず確認すべきこと

1. 対象端末の棚卸し

• Windows端末、VDI、共有端末、管理者端末、検証VM、サーバー管理端末を一覧化する。
• Microsoft Defender Antivirus、Microsoft Defender for Endpoint、サードパーティEDRの利用状況を分ける。
• Intune、Configuration Manager、WSUS、Defenderポータルで見える端末数と実台帳を突き合わせる。
• 長期未接続、更新停止、退職者・異動者の端末、委託先端末を別枠にする。

2. 更新状態の確認

• Defenderエンジン、プラットフォーム、セキュリティインテリジェンス更新の状態を確認する。
• 更新が止まっている端末の理由を、ネットワーク、プロキシ、WSUS、ディスク不足、管理外、ポリシー例外に分ける。
• 更新成功の端末、失敗の端末、未確認の端末を同じ表で管理する。
• ベンダー公式情報とNVD/CISAを見て、CVE番号と修正済み状態の根拠を記録する。

3. 保護機能とログの確認

• Defender for Endpointのアラート、隔離、検出履歴、保護無効化、Tamper Protection関連イベントを見る。
• 高権限端末、管理者端末、開発端末、CI/CD端末を優先して確認する。
• 不審なプロセスやファイル名を深追いして再現せず、EDRイベント、端末状態、ユーザー操作、IdPログを時系列で整理する。
• 更新前後で検出や隔離の増減がないか確認する。

推奨される初動対応

やること

• 公式情報、CISA KEV、NVDで対象CVEと対応期限を確認する。
• 更新済み、更新失敗、未接続、管理外、例外の端末を分けて一覧化する。
• 未更新端末に対して、ネットワーク復帰、ポリシー再適用、手動更新、隔離判断を行う。
• 高権限端末や管理者端末は、更新確認とあわせてサインインログ、EDRログ、SaaS監査ログを見る。
• 更新完了後も、一定期間はDefender for Endpointのアラートと保護無効化イベントを確認する。

やらないこと

• 「Defenderが入っている端末は対応済み」と扱わない。
• 更新失敗や未接続端末を、数だけで丸めて報告しない。
• 不審ファイルやリンクを再実行して確認しない。
• 公式情報で確認できない影響バージョンや悪用条件を断定しない。

記録すべきこと

CVE番号:
確認した公式情報:
対象端末数:
更新済み:
更新失敗:
未接続・未確認:
管理外・例外:
高権限端末の確認:
Defender for Endpointアラート:
暫定措置:
未解決の残リスク:
次回確認日時:

判断基準

次の条件に当てはまる場合は、通常の月例更新より高い優先度で扱います。

優先度	条件	判断
高	KEV掲載CVEの対象端末が未更新、かつインターネット利用やメール添付を扱う	更新または隔離を優先し、端末単位で追跡する
高	管理者端末、開発端末、CI端末、経理・人事端末が未確認	影響確認とログ保全を同時に進める
中	更新は完了しているが、Defender for Endpointのアラートや保護無効化イベントがある	SOC/CSIRTで追加調査へ進む
中	WSUS/プロキシ/Intune設定により一部端末が更新を受け取れない	端末管理の恒久対策として扱う
低	対象外が公式情報と台帳で確認でき、ログにも不審点がない	確認日時と根拠を残してクローズする

関連するCyberLens内部リンク

• Microsoft Defender更新確認チェックリスト：端末保護エンジン、EDR、例外端末を確認する実務ページ。
• CVE初動対応チェックリスト：CVE番号を受け取った直後の対象判定と優先度付け。
• EDRとアンチウイルスの違い：Defender AVとEDRの役割を混同しないための比較。
• Patch Managementとは：更新管理の基本用語。
• KEVとは：CISA KEVを優先度判断に使う考え方。
• セキュリティログの読み方：ログを時系列で整理する基礎。

公式情報の確認先

• CISA KEV JSON: CVE-2026-41091 / CVE-2026-45498 — KEV登録状況、登録日、要求アクションを確認できる。
• NVD: CVE-2026-41091 — Microsoft Malware Protection Engineに関するNVD情報を確認できる。
• NVD: CVE-2026-45498 — Microsoft Defender for Endpointに関するNVD情報を確認できる。
• MSRC: CVE-2026-41091 — ベンダー公式の脆弱性ページ。
• MSRC: CVE-2026-45498 — ベンダー公式の脆弱性ページ。

まとめ

Microsoft Defender関連のKEV掲載では、端末保護製品の存在そのものではなく、更新の到達率、保護機能の有効性、例外端末、ログ確認の完了が判断材料になります。特に高権限端末や開発端末では、更新確認とサインイン・EDR・SaaS監査ログの確認を分けずに進めることが重要です。

次に進むなら、Microsoft Defender更新確認チェックリスト で端末一覧と未確認端末を整理し、必要に応じて CVE初動対応チェックリスト へつなげてください。