Windows Server 2025の2026年4月アップデートで深刻障害｜LSASSクラッシュ・DC再起動ループの原因と緊急対処法

🚨 緊急：ドメインコントローラー管理者は今すぐ確認

Windows Server 2025の4月アップデート適用後、LSASSクラッシュによるDC再起動ループが発生しています

緊急修正パッチ KB5091157 が2026年4月19日にリリースされています。
影響を受けている場合は直ちに適用してください。

この記事でわかること

2026年4月アップデート（KB5082063）の概要と修正内容
LSASSクラッシュ・DC再起動ループの発生メカニズム
バックアップソフト停止・BitLocker問題への対処法
緊急OOBパッチの適用手順と今後の運用対策

📋 目次

今回のアップデートの基本情報
主な改善・修正内容
報告されている不具合一覧
不具合別の対処法・緊急OOBパッチの適用
適用前の準備チェックリスト
よくある質問
まとめ・運用上の推奨事項

1. 今回のアップデートの基本情報

2026年4月14日のパッチチューズデーにおいて、Windows Server 2025向けに以下の更新プログラムが配信されました。

項目	内容
対象OS	Windows Server 2025 重要
定例パッチKB番号	KB5082063
OSビルド番号	26100.32690
配信日	2026年4月14日（パッチチューズデー）
緊急OOBパッチ	KB5091157 緊急リリース
OOB配信日	2026年4月19日
修正件数	167件の脆弱性（Windows全体）
更新の種類	サーバーOS用累積セキュリティ更新プログラム

🚨 KB5082063適用後に深刻な障害が発生 KB5082063の適用により、一部のドメインコントローラー（DC）でLSASSがクラッシュし、サーバーが再起動ループに陥る深刻な障害が確認されています。Microsoftは2026年4月19日に緊急修正パッチ（KB5091157）をリリースしています。

他のサーバーOSとの比較

対象OS	定例パッチKB	OOB修正パッチ	状態
Windows Server 2025	KB5082063	KB5091157	緊急対応必要
Windows Server 2022	KB5082142	KB5091575	緊急対応必要
Windows Server 2019	KB5082073	KB5091573	緊急対応必要

2. 主な改善・修正内容

🔒 セキュリティ修正（重要2件）

① SharePointのなりすまし脆弱性（CVE-2026-32201）

SharePoint Serverで第三者が別のユーザーになりすますことができる脆弱性です。すでに実際の攻撃への悪用が確認されており、エンタープライズ環境では特に早急な対応が必要です。

② ChromiumのUse-after-free脆弱性（CVE-2026-5281）

ブラウザエンジンの深刻なバグです。サーバー上でブラウザベースの管理ツールを使用している環境では注意が必要です。

🛡️ セキュリティ・インフラ強化

強化内容	詳細	影響
セキュアブート証明書の更新	Windows UEFI CA 2023証明書への移行推進	BitLocker回復キー要求の原因
脆弱なドライバのブロック強化	psmounterex.sysなどをブロックリストに追加	バックアップソフト停止の原因
カーネルレベルの保護強化	BYOVD攻撃対策・カーネル整合性チェック強化	一部ドライバとの非互換
LSASSセキュリティ強化	認証サブシステムのメモリ保護強化	LSASSクラッシュの引き金

💡 今回の更新の技術的背景 今回のアップデートはMicrosoftのセキュリティ思想の転換点を象徴しています。カーネル保護とブート信頼チェーンの抜本的な強化が行われた結果、一部のサーバー環境との互換性問題が発生しています。

3. 報告されている不具合一覧

不具合① LSASSクラッシュによるDC再起動ループ

深刻度：最高 ★★★★★ OOB修正パッチあり

今回の最も深刻な障害です。KB5082063の適用後、ドメインコントローラー（DC）でLSASS（Local Security Authority Subsystem Service）がクラッシュし、サーバーが自動的に再起動を繰り返す状態に陥ります。

🚨 この障害がエンタープライズに与える影響 LSASSはWindows認証の中核サービスです。DCがクラッシュすると、ドメイン参加しているすべてのPCでログインができなくなり、業務が完全に停止する可能性があります。

発生しやすい環境

条件	詳細
特権アクセス管理（PAM）が有効	PAM環境でのLSASSメモリ管理との競合が発生
非グローバルカタログDC	GCでないDCで認証要求を受けた際にクラッシュ
起動直後の認証要求	サーバー起動のごく初期段階でリクエストを受信した場合に発生

症状

KB5082063適用後の再起動でサーバーが起動しない
イベントログに「LSASS.exe」のクラッシュエラーが記録される
ドメイン参加PCからのログインがすべて失敗する
Active Directory認証サービスが応答しなくなる
サーバーが自動的に再起動を繰り返す

不具合② バックアップソフトの機能停止

深刻度：高 ★★★★☆

Macrium Reflect・Acronis Cyber Protect・NinjaOne・UrBackupなどのバックアップソフトが正常に動作しなくなります。

原因： バックアップソフトが共通して使用する「psmounterex.sys」ドライバが、CVE-2023-43896への対策としてWindowsのブロックリストに追加されたためです。

ソフト名	影響を受ける機能	対応状況
Macrium Reflect	イメージのマウント・スナップショット作成	最新版で対応
Acronis Cyber Protect	クラウド同期・スナップショット・オフライン表示	対応中
NinjaOne Backup	VSSスナップショット作成	対応中
UrBackup Server	イメージ管理・マウント	最新版で対応

表示されるエラーメッセージ：

VSS_E_BAD_STATE Microsoft VSS has timed out during the snapshot creation

不具合③ BitLocker回復キーの要求

深刻度：中 ★★★☆☆

アップデート適用後の再起動時に、BitLockerが有効なサーバーやPCで突然「BitLocker回復キーを入力してください」という画面が表示されます。

発生条件

OSドライブでBitLockerが有効になっている
TPM検証プロファイルにPCR7が含まれているが「バインディング不可能」の状態
非推奨のグループポリシー（TPMプラットフォーム検証プロファイル）が有効

✅ 重要：1回の入力で解決します BitLocker回復キーの入力は1回だけで済みます。正しいキーを入力すれば以降の再起動では再発しません。ただし、回復キーを紛失している場合はサーバーへのアクセスが完全に失われます。

不具合④ KB5082063のインストール自体が失敗する

深刻度：高 ★★★★☆ OOB修正パッチで解決

一部の環境では、KB5082063のインストール自体が途中で失敗し、ロールバックされるケースが確認されています。この場合もOOBパッチ（KB5091157）の適用で解決します。

4. 不具合別の対処法・緊急OOBパッチの適用

🚨 最優先：緊急OOBパッチの適用手順

LSASSクラッシュおよびインストール失敗に対する緊急修正パッチです。DC管理者は最優先で適用してください。

対象OS	OOBパッチKB番号	入手方法
Windows Server 2025	KB5091157	Microsoft Update Catalog / WSUS
Windows Server 2022	KB5091575	Microsoft Update Catalog / WSUS
Windows Server 2019	KB5091573	Microsoft Update Catalog / WSUS

【不具合①対策】LSASSクラッシュ・DC再起動ループの対処

パターンA：まだKB5082063を適用していない場合（予防）

OOBパッチを先にダウンロードする

Microsoft Update CatalogからKB5091157をダウンロードします。
URL：catalog.update.microsoft.com で「KB5091157」を検索
定例パッチ（KB5082063）を適用する

WSUSまたはWindows Updateから通常通り適用します。
直ちにOOBパッチ（KB5091157）を適用する

定例パッチ適用後、再起動前または再起動後にOOBパッチを適用します。

wusa.exe KB5091157.msu /quiet /norestart
サーバーを再起動して確認する

LSASSが正常に起動し、Active Directory認証が機能していることを確認します。

パターンB：すでにKB5082063を適用してDCが起動しない場合（緊急復旧）

🚨 以下の手順は慎重に行ってください DCが起動しない状態での作業です。作業前に可能な限りスナップショットや別途バックアップを確保してください。

セーフモードまたはDSRM（ディレクトリサービス復元モード）で起動する

起動時に F8 を押し「セーフモード」を選択。または起動メニューから「ディレクトリサービス復元モード」を選択します。

bcdedit /set safeboot dsrepair
問題のあるパッチをアンインストールする

wusa /uninstall /kb:5082063 /quiet /norestart
OOBパッチ（KB5091157）をダウンロードして適用する

別のPCでMicrosoft Update CatalogからKB5091157をダウンロードし、USBメモリ等でDCに転送して適用します。

wusa.exe KB5091157.msu /quiet /norestart
セーフモード設定を解除して再起動する

bcdedit /deletevalue safeboot

その後サーバーを再起動します。
Active Directory・LSASS・認証の正常動作を確認する

イベントビューアーでLSASSのエラーがないことを確認し、ドメイン参加PCからのログインをテストします。

net logon dcdiag /test:replications repadmin /showrepl
定例パッチ（KB5082063）を再適用する

OOBパッチ適用後は、KB5082063を再度適用しても安全です。セキュリティ修正のため、適用を推奨します。

【不具合②対策】バックアップソフトが停止した場合

推奨：バックアップソフトを最新バージョンに更新する

各ベンダーが新しいドライバを含む修正版をリリースしています。

ソフト名	対処方法
Macrium Reflect	公式サイトから最新版をダウンロードして更新
Acronis Cyber Protect	管理コンソールから最新バージョンへのアップデートを適用
NinjaOne Backup	管理コンソールからドライバのアップデートを確認・適用
UrBackup Server	公式サイトから最新版をインストール

緊急時の暫定対処（非推奨・セキュリティリスクあり）

⚠️ サーバー環境での使用は特に注意 この操作はBYOVD攻撃への防御を無効化します。サーバー環境では最小限の期間のみ使用し、バックアップソフトの更新後は必ず元に戻してください。

コマンドプロンプトを管理者として開き実行します。

rem ブロックを無効化（緊急時のみ） reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f rem 確認後、必ず元に戻す reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 1 /f

【不具合③対策】BitLocker回復キーを求められた場合

BitLocker回復キーを確認する

以下の場所で確認できます。
- Active Directory： AD管理ツールでコンピューターオブジェクトを確認
- Microsoft Entra ID（旧Azure AD）： 管理ポータルのデバイス管理から確認
- Microsoftアカウント： account.microsoft.com/devices/recoverykey
- 印刷・保存したバックアップ： BitLocker設定時に保存した場所
48桁の回復キーを入力して起動する

正しく入力するとサーバーが起動します。
グループポリシーの設定を見直す（再発防止）

非推奨のTPMプラットフォーム検証プロファイルのグループポリシーが有効になっている場合は無効化します。

gpedit.msc → コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → 「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイル」 → 「未構成」または「無効」に設定

5. 適用前の準備チェックリスト

KB5082063を適用する前に、以下を必ず確認・実施してください。

🖥️ DC管理者向け（最優先）

DCのフルバックアップ（またはスナップショット）を取得した
BitLocker回復キーをActive DirectoryまたはEntra IDに保存・確認した
PAMが有効な環境か確認した（有効な場合は特に注意）
非GCのDCが存在するか確認した
OOBパッチ（KB5091157）を事前にダウンロードした
まず非重要なDCに適用してテストする計画を立てた
業務時間外または低負荷時間帯での適用を計画した
適用後のロールバック手順を確認・準備した

📦 バックアップ管理者向け

バックアップソフト（Macrium・Acronis等）を最新バージョンに更新した
パッチ適用前に手動バックアップを取得した
バックアップの復元テストを事前に実施した
VSSスナップショットが正常に動作するか確認した

⚠️ サーバー環境での重要な注意点 DCへのパッチ適用は必ず段階的に実施してください。すべてのDCに同時適用すると、障害発生時にドメイン全体が停止するリスクがあります。まず1台のDCに適用し、安定動作を確認してから他のDCに展開してください。

6. よくある質問

LSASSクラッシュが発生しているかどうかはどう確認できますか？

イベントビューアー（eventvwr.msc）を開き、「Windowsログ」→「アプリケーション」または「システム」で「lsass.exe」または「ソース：Security-SPP」のエラーを確認してください。また、サーバーが予期せず再起動している場合はシステムログの「予期しないシャットダウン」イベントも確認します。

OOBパッチ（KB5091157）だけ適用すれば定例パッチは不要ですか？

いいえ。KB5091157はKB5082063の問題を修正するパッチです。セキュリティ脆弱性（167件）の修正はKB5082063に含まれているため、両方の適用が必要です。OOBパッチは定例パッチの代替ではなく補完です。

PAMが有効でないDCでも障害は発生しますか？

主な障害報告はPAMが有効な環境や非GCのDCに集中していますが、他の環境でも発生する可能性があります。すべてのDCで段階的な適用とOOBパッチの同時適用を推奨します。

BitLocker回復キーをADに保存する方法は？

PowerShellで以下のコマンドを実行することで、現在のBitLockerキーをADにバックアップできます：

$BLV = Get-BitLockerVolume -MountPoint "C:"; Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId

WSUSでOOBパッチを配信するにはどうすればよいですか？

WSUSの管理コンソールで「更新プログラム」→「すべての更新プログラム」から「KB5091157」を検索し、承認して配信します。OOBパッチはWSUSに自動的に表示されない場合があるため、Microsoft Update Catalogから手動インポートが必要なケースもあります。

パッチを適用しないとどうなりますか？

SharePointのなりすまし脆弱性（CVE-2026-32201）などはすでに攻撃に悪用されています。セキュリティリスクを避けるため、OOBパッチと合わせて早期の適用を強く推奨します。ただし必ずバックアップを取得してから実施してください。

7. まとめ・運用上の推奨事項

📋 今回の障害の全体像

不具合	深刻度	対処法	状態
LSASSクラッシュ・DC再起動ループ	最高	KB5091157を適用	修正済み
KB5082063のインストール失敗	高	KB5091157を適用	修正済み
バックアップソフト停止	高	各ソフトを最新版に更新	対応中
BitLocker回復キー要求	中	回復キー入力・GPO見直し	1回で解決