はじめに
先週(5月11日〜17日)は、パソコンを毎日使っている方なら特に気をつけたいセキュリティニュースが相次ぎました。
マイクロソフトとGoogleが大規模な修正プログラムを同日にリリースし、世界中のユーザーに「今すぐ更新を」と呼びかけています。
また、企業のメールシステムを狙った攻撃が実際に確認されたほか、AIを使ったフィッシングメール(偽メールで情報を盗む攻撃)がますます巧妙になっているという報告も届いています。
「通知が来ていたけど後回しにしていた…」という方、今週こそ動くタイミングです。この記事では、先週起きた主なセキュリティニュースをわかりやすくまとめます。
要点まとめ
- Windows・Chromeに緊急の脆弱性:5月12日、マイクロソフトとGoogleが同日に大規模なセキュリティ修正をリリース。まだ更新していない方は今すぐ対応を
- Windowsは120件もの穴を修正:そのうち29件は「緊急」レベルで、放置すると遠隔操作される恐れあり
- Chromeは更新後の「再起動」が必須:ダウンロードしただけでは有効にならないので要注意
- 企業のメールサーバーへの攻撃が確認済み:Microsoft Exchange Serverの脆弱性がすでに悪用されている
- AIを使ったフィッシングメールが急増:以前より見抜きにくくなっており、誰でも標的になりえる
マイクロソフトが120件もの「穴」を一気に修正
毎月第2火曜日は「パッチチューズデー」と呼ばれる、マイクロソフトの定例セキュリティ更新日です。5月12日、マイクロソフトはWindowsやOffice、Azure(クラウドサービス)などを対象に、120件もの脆弱性(=ソフトウェアの"穴"のこと) を一気に修正しました。
120件のうち29件は「緊急(Critical)」と分類される深刻なもので、悪用されると外部からパソコンを遠隔で乗っ取られる可能性があります。難しい言葉でいうと「リモートコード実行(RCE)」と呼ばれる攻撃で、攻撃者がインターネット越しにあなたのパソコンを操作できてしまう状態です。
特に注意が必要なのは「Windows DNSクライアント」と「Netlogon」という機能の脆弱性です。どちらもWindowsが内部でインターネット接続やログイン認証に使っている仕組みで、ここを突かれると攻撃者がパスワードなしでシステムに侵入できてしまう危険性があります。
対策はシンプルで、すぐできます。「スタートメニュー」→「設定」→「Windows Update」を開き、「更新プログラムの確認」をクリックするだけ。更新後に再起動が必要なことがほとんどですが、「再起動を後でする」を選ぶとそのままにしてしまいがちです。
昼休み中とか、終業後等、今日中に再起動まで済ませてしまいましょう!
Google Chromeも同日に緊急アップデート、再起動を忘れずに
マイクロソフトと同じ5月12日、GoogleもブラウザのChromeに重大な脆弱性が見つかったとして、セキュリティアップデートを緊急リリースしました。今回修正された脆弱性のうち危険度が高いものは、悪意のあるウェブサイトにアクセスしただけで影響を受ける可能性がある タイプです。
つまり、何かをダウンロードしたりクリックしたりしなくても、そのページを開いただけで攻撃が成立してしまうことがあります。
更新方法はとても簡単です。Chromeを開いて、右上の「⋮(三点メニュー)」→「ヘルプ」→「Google Chromeについて」を選ぶと自動で最新版の確認・ダウンロードが始まります。
重要なポイントは「更新後に必ずChromeを再起動すること」です。 ダウンロードが完了しても、ブラウザを再起動しないと新しいバージョンが有効になりません。「更新したつもりだったけど実は古いままだった」というケースが意外と多いので要注意。
再起動後にもう一度「Google Chromeについて」を開いて「Chromeは最新版です」と表示されることを確認しましょう。
EdgeやFirefoxなど他のブラウザも、定期的に更新確認をする習慣をつけておくと安心です。
職場のメールシステムにも攻撃が確認、企業は早急に対応を
企業のメールシステムとして広く使われている「Microsoft Exchange Server(社内で管理するタイプのメールサーバーのこと)」に、深刻な脆弱性(CVE-2026-42897、危険度スコア8.1/10)が見つかり、すでに実際の攻撃で悪用されていることが確認されました。
この脆弱性が悪用されると、会社のメールの内容や添付ファイルが外部に丸ごと流出したり、そこを足がかりにして社内ネットワーク全体が侵害されるリスクがあります。
特に怖いのは、攻撃されていても気づきにくいという点です。ある日突然「取引先から『御社から不審なメールが来た』と連絡が来た」という事態になってから発覚するケースも少なくありません。
「自分はメールを使うだけだから関係ない」と思う方も多いかもしれませんが、被害は個人のパソコンだけでなく会社全体に波及することがあります。
IT担当者や外部の保守業者に「メールサーバーのパッチ(修正プログラム)は最新の状態になっていますか?」と確認してみてください。
AIを使った"巧妙すぎるフィッシングメール"が増加中
今週注目されたもう一つの重大なトレンドが、AIを活用したサイバー攻撃の増加です。複数の報告書によると、国家的な支援を受けたハッカー集団が、AIを使って攻撃対象の情報を自動収集し、より個人に合わせた内容のフィッシングメールを大量かつ短時間に作成しているとされています。
フィッシングメールとは、銀行や宅配会社、大手ECサイトなどを装って偽のページに誘導し、IDやパスワード、クレジットカード番号などを盗み取る攻撃です。以前は「日本語がおかしい」「差出人のアドレスが明らかに変」といった特徴で見抜けることが多くありました。
ところが、AIが生成する文章は非常に自然で、宛名も正確に入っていたりと、一見して本物と区別がつかないケースが増えています。
見分けるためのポイントをいくつか覚えておきましょう。
- 「アカウントが停止されます」「今すぐ確認してください」など緊急を煽る表現は要注意
- メール内のリンクをクリックする前に、送信元のメールアドレスをよく確認する(表示名は偽れても、実際のアドレスは変なことが多い)
- リンクを踏まず、公式アプリやブラウザから直接ログインして確認する
- 少しでも怪しいと感じたら、家族や会社のIT担当者に相談する
「自分は引っかからない」と思っている方ほど危険です。AIによって攻撃の精度が上がっている今、誰でも標的になりえます。
今週のまとめ:5分の更新が、大切なデータを守る
今週はWindowsとChromeという、多くの方が毎日使うソフトに緊急の修正が入りました。更新の作業自体は数分で終わります。「後でやろう」の積み重ねが、気づかないうちに大きなリスクになってしまいます。
今日の作業を始める前に、まずWindowsとChromeのアップデートを確認してみてください。それだけで、今週報告された多くの危険から身を守ることができます。セキュリティ対策は特別なスキルがなくてもできる、小さな習慣の積み重ねです。

