2026年5月13日(日本時間)に配信されたWindows Server 2022の月例アップデート(KB5087545)に関連して、管理者から複数の不具合が報告されています。4月更新で発生したドメインコントローラーの深刻な障害(緊急OOBパッチ対応済み)の経緯も踏まえ、現在確認されている問題・解決済みの問題・注意事項を整理してまとめます。
⚠️ サーバー管理者の方へ:4月更新(KB5082142)で発生したドメインコントローラーの再起動ループは、4月19日リリースのOOBパッチ(KB5091575)で解決済みです。5月更新(KB5087545)にはこの修正が統合されています。ホットパッチ適用済み環境の場合は KB5091576 をご確認ください。
📋 2026年5月 Windows Server 2022 更新プログラム
| 対象OS | KB番号 | 適用後ビルド番号 | 配信日 |
|---|---|---|---|
| Windows Server 2022 | KB5087545 | 20348.5139 | 2026年5月13日 |
| Windows Server 2022 Datacenter: Azure Edition(ホットパッチ) | Hotpatch 含む | — | 2026年5月13日 |
※本更新には、4月定例更新(KB5082142)および4月緊急OOBパッチ(KB5091575)の修正内容が統合されています。
📌 この記事の内容
⚠️ 不具合①:BitLocker回復キーの入力を求められる
症状
KB5087545を適用して再起動した際、BitLocker回復キーの入力画面が表示されることがあります。Microsoftは以下の条件がすべて揃った場合にのみ発生すると説明しており、個人利用・ITによる管理がない環境では発生しないとしています。
- OSドライブでBitLockerが有効になっている
- グループポリシー「ネイティブUEFI ファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」が設定されており、PCR7が検証プロファイルに含まれている(またはレジストリで同等の設定がされている)
原因
Microsoftが段階的に進めているセキュアブート証明書(Windows UEFI CA 2023)の展開において、PCR7を含む古いTPMプロファイル設定との間で整合性の不一致が生じ、BitLocker回復モードがトリガーされます。一度回復キーを入力すれば、その後の再起動では再発しません。
🔧 対処法
【推奨・更新前】グループポリシーの設定を削除する
- グループポリシーエディター(
gpedit.msc)またはグループポリシー管理コンソールを開く - 「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」
- 「ネイティブUEFIプラットフォーム検証プロファイルを構成する」を 「未構成」 に設定
- コマンドプロンプト(管理者)で
gpupdate /forceを実行してからKB5087545を適用
【更新後の対処】BitLockerプロテクターのリセット
既に回復キー入力が発生した場合は、管理者権限のコマンドプロンプトで以下を実行します(C:ドライブが対象の場合):
manage-bde -protectors -enable C: -tpm
※コマンド実行後、再起動して正常に起動することを確認してください。
📌 Microsoftは恒久的な修正を準備中と案内しています。現在の対処は一時的なものです。
⚠️ 不具合②:WSUSで同期エラーの詳細が表示されない
症状
KB5070884以降の更新を適用した環境では、Windows Server Update Services(WSUS)の同期エラー詳細がエラーレポート内に表示されなくなっています。同期そのものは引き続き機能しますが、エラーが発生した場合の詳細確認ができない状態が続いています。
原因と背景
これはセキュリティ上の理由による意図的な機能の一時削除です。WSUS サーバーロールに影響する深刻なリモートコード実行の脆弱性(CVE-2025-59287)に対処するため、詳細なエラー表示機能が一時的に無効化されています。この脆弱性は認証不要で SYSTEM 権限での任意コード実行につながる可能性があり、PoC(概念実証コード)も公開されているため、パッチの適用が強く推奨されています。
📌 現時点でWSUSのエラー詳細表示機能を回復する回避策はありません。Microsoftによる修正提供をお待ちください。WSUS同期の問題を調査する際は、Windowsイベントログ(アプリケーションとサービスログ → Microsoft → Windows → WindowsUpdateClient)を併用してください。
⚠️ 不具合③:バックアップソフトのVSS障害
症状
4月更新(KB5082142)以降、一部のバックアップアプリケーションがスナップショットの作成に失敗するケースが報告されています。以下のようなエラーメッセージが表示される場合があります。
VSS_E_BAD_STATE
原因
Microsoftの脆弱ドライバーブロックリスト(Vulnerable Driver Blocklist)に、一部バックアップソフトが使用するカーネルドライバー(psmounterex.sys など)が追加されたためです。これはセキュリティ強化を目的とした意図的な設計変更であり、Microsoftは「アプリベンダーによる修正が必要」と説明しています。
🔧 対処法
- バックアップソフトを最新バージョンに更新する(各ベンダーの対応状況を確認)
- ベンダー提供の新しいドライバーが含まれるバージョンへのアップグレードが根本的な解決策です
- Microsoftはブロックリストの無効化も技術的には可能としていますが、セキュリティリスクが高まるため推奨していません
✅ 解決済み①:ドメインコントローラーの再起動ループ(4月更新起因)
症状と概要
4月の累積更新(KB5082142)を適用後、PAM(Privileged Access Management)を使用するマルチドメインフォレスト環境のドメインコントローラーにおいて、LSSASSサービスのクラッシュが発生し、サーバーが再起動ループに陥る深刻な問題が報告されました。認証・ディレクトリサービスが機能しなくなり、ドメイン全体が利用不能になるケースも確認されています。
✅ 解決策:OOBパッチ(KB5091575)または5月更新(KB5087545)を適用
- 標準版:KB5091575(OS Build 20348.5024)― Microsoft Update Catalogから手動ダウンロード可
- ホットパッチ版:KB5091576(OS Build 20348.5029)― 再起動不要でWindows Update経由で提供
- 5月定例更新 KB5087545 にも同修正が統合されているため、本更新の適用でも解消されます
✅ 解決済み②:RDP警告ダイアログの表示崩れ(本更新で修正)
症状(4月更新で発生・本更新で解消)
4月の更新(KB5082142)を適用した後から、リモートデスクトップ(RDP)ファイルを開く際のセキュリティ警告ダイアログが正しく描画されない問題が報告されていました。モニターごとに異なる表示スケール設定(例:1台目100%・2台目125%)を使用している環境で、ダイアログ内のテキストが重なって表示されたり、ボタンが部分的に隠れて操作が困難になるケースが発生していました。
✅ 5月更新(KB5087545)の適用により本問題は解消されます。4月更新後にこの症状が発生していた場合は、5月更新を適用することで改善されます。
ℹ️ 注意事項:セキュアブート証明書の更新と6月26日の期限切れ
KB5087545では、新しいセキュアブート証明書(Windows UEFI CA 2023)の段階的展開が進められます。2011年発行の旧証明書は2026年6月26日に期限切れとなるため、5月の更新サイクルは展開を完了させる最後の余裕のあるタイミングです。
🔴 サーバー管理者向け重要事項:6月26日までに対応が必要
新しいセキュアブート証明書を受信していないサーバーは、2026年6月26日以降、セキュリティ保護が低下した状態になります。管理対象のサーバーフリートについて証明書の適用状況を確認し、6月のPatch Tuesdayを待たずに5月中に展開を完了することを強く推奨します。
セキュアブート証明書の適用状況を確認する方法
- 「スタート」→「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」
- 「デバイス セキュリティ」→「セキュアブート」
- 「適用済み」と表示されていれば更新完了
📅 経緯タイムライン
| 日付 | 内容 |
|---|---|
| 2026年4月15日 | 4月定例更新(KB5082142)リリース。PAM環境DCでLSASSクラッシュ・再起動ループ、RDP警告ダイアログの表示崩れ、VSS障害が発生 |
| 2026年4月16日 | MicrosoftがDCの再起動ループを公式確認・案内。BitLocker回復問題についても案内 |
| 2026年4月19日 | 緊急OOBパッチ(KB5091575)リリース。DCの再起動ループを解決。ホットパッチ版はKB5091576 |
| 2026年5月2日 | Microsoftが再起動回数増加の理由(セキュアブート証明書更新)を公式説明 |
| 2026年5月3日 | MicrosoftがVSS障害の根本原因(脆弱ドライバーブロック)を公式発表 |
| 2026年5月13日 | 5月定例更新(KB5087545)配信開始。OOBパッチの修正内容・RDP問題の修正を統合。BitLocker問題を既知の問題として継続案内 |
| 2026年6月26日 | 旧セキュアブート証明書(2011年発行)の期限切れ。新証明書未適用デバイスはセキュリティ保護が低下 |
📊 まとめ・対処法一覧
| 不具合・事象 | ステータス | 深刻度 | 対処法 |
|---|---|---|---|
| BitLocker回復キー要求 (特定GPO・PCR7設定環境) |
調査中 | 中〜高 (企業DC限定) |
更新前にGPO「未構成」へ変更 + gpupdate /force。発生後は manage-bde でプロテクターをリセット |
| WSUSエラー詳細の非表示 (CVE-2025-59287対応) |
継続中 | 軽微 | 対処不要(仕様)。エラー調査はWindowsイベントログを活用 |
| バックアップVSS障害 (脆弱ドライバーブロック) |
継続中 | 高 (該当ソフト使用環境) |
バックアップソフトを最新バージョンへ更新(各ベンダー対応待ち) |
| DCの再起動ループ / LSSASSクラッシュ (4月更新・PAM環境) |
✅ 解決済み | 重大 | OOBパッチ KB5091575(ホットパッチ版:KB5091576)を適用。または5月更新KB5087545を適用 |
| RDP警告ダイアログの表示崩れ (マルチモニター・スケーリング差異) |
✅ 解決済み | 軽微 | KB5087545(5月更新)の適用で解消 |
| 更新時の再起動回数増加 | 仕様 | なし | 対処不要。セキュアブート証明書の更新による正常動作 |
🔗 参考・公式情報
- Microsoft サポート:Windows Server 2022 更新履歴
- Microsoft Learn:Windows Server 2022 既知の問題と通知
- BleepingComputer:Microsoft releases emergency updates to fix Windows Server issues
- BleepingComputer:Microsoft fixes bug behind Windows Server 2025 automatic upgrades
最終更新:2026年5月13日 / 情報は記事公開時点のものです。今後の公式発表により内容が変わる場合があります。本記事の情報はサーバー管理者向けの参考情報であり、実際の運用変更は必ず公式ドキュメントを確認のうえ実施してください。
