Windows Server 2025の2026年5月アップデートで不具合【5/26更新】

⚠️ サーバー管理者の方へ：4月更新（KB5082063）で発生したドメインコントローラーの再起動ループは、4月19日リリースのOOBパッチ（KB5091157）で解決済みです。5月更新（KB5087539）にはこの修正が統合されています。ホットパッチ適用済み環境の場合は KB5087423 をご確認ください。

📋 2026年5月 Windows Server 2025 更新プログラム

※本更新には、4月定例更新（KB5082063）および4月緊急OOBパッチ（KB5091157）の修正内容が統合されています。
※サービシングスタック更新（SSU：KB5089717 / ビルド 26100.32837）は本更新に内包されており、別途インストール不要です。

🆕 2026年5月26日 更新（v1.3）

✅ KB5087539 の主な修正・新機能（Microsoft公式リリースノートより）

• 🔒 ML-DSA 量子耐性署名のサポートを追加（AD CS）：Active Directory Certificate Services でModule‑Lattice‑Based Digital Signature Algorithm（ML-DSA）ポスト量子署名をサポート。コード署名・TLS・OCSP応答署名向けの量子耐性証明書発行が可能に
• 🖥️ RDP警告ダイアログの表示崩れを修正：4月更新（KB5082063）で発生していたマルチモニター・異なるスケーリング設定環境でのRDP警告の描画崩れを解消
• 🔑 サインイン問題を修正：2026年3月10日以降の更新適用後に発生していた、インターネット接続があるにもかかわらず「インターネットなし」と表示されMicrosoftサービスへのサインインに失敗する問題を修正
• 📡 SSDPサービスの信頼性を改善：Simple Service Discovery Protocol（SSDP）の通知信頼性向上・サービス無応答を防ぐ接続改善
• 🌍 エジプトの夏時間（DST）変更に対応 🆕 v1.3追加：アラブ共和国エジプトの2023年DST変更をサポート
• ⚡ ドメインコントローラーでのLSASSパフォーマンス改善 🆕 v1.3追加：Microsoft Defender有効時のDCにおけるLSASSのCPU・メモリ使用量を最適化（ETW収集時のIDL_DRSGetNCChangesイベントにかかる負荷を軽減）
• 💾 BSoD時のメモリダンプ未生成を修正（diskdump.sys） 🆕 v1.3追加：2025年12月更新以降に発生していた、ブルースクリーン時にメモリダンプが生成されない問題を解消（詳細は下記「解決済み③」参照）
• 🛡️ セキュリティ脆弱性を修正（Microsoft公式：63件・うちCritical 5件 ※情報源により件数が異なる場合があります）
• 🔐 セキュアブート証明書の段階的展開を拡大：高信頼デバイスへの新証明書配信カバレッジを拡大。対象デバイスでは C:\Windows 配下に新規 SecureBoot フォルダが作成される
• 📦 4月OOBパッチ（KB5091157）の修正内容を統合：DCの再起動ループ・インストール失敗（800F0983）の修正を包含

※セキュリティ件数について：Microsoft公式では63件（Critical 5件）と案内していますが、他の情報源では120件（Critical 16件）と記載しているケースもあります。正確な件数はMicrosoft Security Response Centerの公式ページでご確認ください。

📌 この記事の内容

1. 不具合①：BitLocker回復キーの入力を求められる（既知問題・調査中）
2. 不具合②：WSUSでエラー詳細が表示されない（CVE-2025-59287対応・継続中）
3. 🆕 不具合③：KB5087539のインストール失敗 エラー 0x800736b3（コンポーネントストア破損）
4. ✅ 解決済み①：ドメインコントローラーの再起動ループ（4月更新・OOB対応済み）
5. ✅ 解決済み②：RDP警告ダイアログの表示崩れ（本更新で修正）
6. 🆕 ✅ 解決済み③：BSoD時にメモリダンプが生成されない（本更新で修正）
7. 注意事項：セキュアブート証明書の更新と6月26日の期限切れ
8. 経緯タイムライン
9. まとめ・対処法一覧

🔧 対処法

【更新前の予防策】グループポリシーの構成を修正する

1. グループポリシーエディター（gpedit.msc）を開く
2. 「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」
3. 「ネイティブUEFIプラットフォーム検証プロファイルを構成する」を 「未構成」 に設定
4. コマンドプロンプト（管理者）で gpupdate /force を実行

【更新後の対処】BitLockerプロテクターのリセット

既に回復キー入力が発生した場合、管理者権限のコマンドプロンプトで以下を実行します（C:ドライブが対象の場合）：

※コマンド実行後、再起動して正常に起動することを確認してください。

📌 Microsoftは恒久的な修正を準備中と案内しています。現在の対処は一時的なものであり、今後の更新で根本的な対応が提供される予定です。

🔴 CVE-2025-59287 について

認証不要でSYSTEM権限での任意コード実行につながる可能性がある深刻な脆弱性です。PoC（概念実証コード）が公開されているため、パッチの適用を強く推奨します。エラー詳細の非表示はこの脆弱性への対処措置です。

🔧 対処法・代替確認方法

現時点でWSUSのエラー詳細表示機能を回復する回避策はありません。エラーを調査する際は以下の代替手段をご利用ください：

• Windowsイベントログ：「アプリケーションとサービスログ」→「Microsoft」→「Windows」→「WindowsUpdateClient」
• WSUSサーバーのログファイル：C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log

Microsoftは恒久的な修正を今後の更新で提供する予定としています。

🔧 対処法

【手順1】DISM でコンポーネントストアを修復する

まず標準修復を試みます：

上記で解消しない場合は、既知の正常なソース（同一ビルド・同一エディション）を指定して修復します：

【手順2】SFC（システムファイルチェッカー）を実行する

【手順3】Windows Update コンポーネントをリセットする

管理者権限のコマンドプロンプトで以下を順に実行します：

※作業前にOSディスクのバックアップまたはVMスナップショットを取得することを強く推奨します。

✅ 解決策：OOBパッチ（KB5091157）または5月更新（KB5087539）を適用

• 標準版：KB5091157（OS Build 26100.32698）― Microsoft Update Catalogから手動ダウンロード可
• ホットパッチ版：KB5091470（OS Build 26100.32704）― 再起動不要でWindows Update経由で提供
• 5月定例更新 KB5087539 にも同修正が統合されているため、本更新の適用でも解消されます

📌 ホットパッチ適用環境の注意：KB5091157を適用するとホットパッチが一時停止し、次の2026年7月ベースライン更新後に再開されます。

✅ 5月更新（KB5087539）の適用により本問題は解消されます。Microsoft公式リリースノートにおいて「既知の問題の修正」として正式に記載されています。

✅ 解決策

5月更新（KB5087539）の適用により diskdump.sys の実装が従来方式に戻され、本問題は解消されます。日本マイクロソフトが2026年5月13日に公式サポートブログで解決を確認しています。

📌 運用上の注意：本問題が解決されるまでの期間（2025年12月〜2026年5月）、BSoD発生時にメモリダンプが生成されておらず、障害原因の事後調査が困難になっている可能性があります。KB5087539適用後は正常にダンプが生成されることをご確認ください。

🔴 管理者向け重要事項：6月26日までに対応が必要

6月26日までに新しいセキュアブート証明書を受信していないデバイスは、翌日からセキュリティ上の保護が低下した状態になります。サーバーフリートの証明書適用状況を確認し、5月の更新サイクル中に展開を完了することを推奨します。