🚨 緊急:Windows Server 2022 DC管理者は今すぐ確認
2026年4月の定例パッチ(KB5082142)適用後、DC再起動ループが発生しています
緊急修正パッチ KB5091575 が2026年4月19日にリリース済みです。
影響を受けている場合は直ちに適用してください。
影響を受けている場合は直ちに適用してください。
この記事でわかること
- 2026年4月アップデート(KB5082142)の概要と修正内容
- DC再起動ループ・LSASSクラッシュの発生メカニズム
- バックアップソフト停止・BitLocker問題への対処法
- 緊急OOBパッチ(KB5091575)の適用手順と運用対策
1. 今回のアップデートの基本情報
2026年4月14日のパッチチューズデーにおいて、Windows Server 2022向けに以下の更新プログラムが配信されました。
| 項目 | 内容 |
|---|---|
| 対象OS | Windows Server 2022 重要 |
| 定例パッチKB番号 | KB5082142 |
| OSビルド番号 | 20348.5020 |
| 配信日 | 2026年4月14日(パッチチューズデー) |
| 緊急OOBパッチ | KB5091575 緊急リリース |
| OOB配信日 | 2026年4月19日 |
| 修正件数 | 167件の脆弱性(Windows全体) |
| 更新の種類 | サーバーOS用累積セキュリティ・信頼性向上更新プログラム |
🚨 KB5082142適用後に深刻な障害が発生
KB5082142の適用により、一部のドメインコントローラー(DC)でLSASSがクラッシュし、サーバーが再起動ループに陥る深刻な障害が確認されています。Microsoftは2026年4月19日に緊急修正パッチ(KB5091575)をリリースしています。
他のサーバーOSとの比較
| 対象OS | 定例パッチKB | OOB修正パッチ | 状態 |
|---|---|---|---|
| Windows Server 2025 | KB5082063 | KB5091157 | 緊急対応必要 |
| Windows Server 2022 | KB5082142 | KB5091575 | 緊急対応必要 |
| Windows Server 2019 | KB5082073 | KB5091573 | 緊急対応必要 |
💡 Windows Server 2022のサポート状況
Windows Server 2022のメインストリームサポートは2026年10月13日まで、延長サポートは2031年10月14日まで継続されます。現在は通常サポート期間内のため、引き続きセキュリティアップデートが提供されます。
2. 主な改善・修正内容
🔒 セキュリティ修正(重要2件)
① SharePointのなりすまし脆弱性(CVE-2026-32201)
SharePoint Serverで第三者が別のユーザーになりすますことができる脆弱性です。すでに実際の攻撃への悪用が確認されており、エンタープライズ環境では特に早急な対応が必要です。
② ChromiumのUse-after-free脆弱性(CVE-2026-5281)
ブラウザエンジンの深刻なバグです。サーバー上でブラウザベースの管理ツールやWebアプリケーションを使用している環境では注意が必要です。
🛡️ セキュリティ・信頼性強化
| 強化内容 | 詳細 | 副作用 |
|---|---|---|
| セキュアブート証明書の更新 | Windows UEFI CA 2023証明書への移行推進 | BitLocker回復キー要求の原因 |
| 脆弱なドライバのブロック強化 | psmounterex.sysなどをブロックリストに追加 | バックアップソフト停止の原因 |
| カーネルレベルの保護強化 | BYOVD攻撃対策・カーネル整合性チェック強化 | 一部ドライバとの非互換 |
| LSASSセキュリティ強化 | 認証サブシステムのメモリ保護強化 | 特定環境でのLSASSクラッシュ |
| 信頼性向上パッチ | Hyper-V・クラスター・ストレージの安定性改善 | ― |
⚠️ Server 2022固有の注意点
Windows Server 2022はHyper-Vホストやフェールオーバークラスターとして使用されるケースが多く、DCクラッシュが発生した際の影響範囲が特に広くなります。仮想化環境でご使用の場合は、スナップショットの事前取得を必ず実施してください。
3. 報告されている不具合一覧
不具合① LSASSクラッシュによるDC再起動ループ
深刻度:最高 ★★★★★
OOB修正パッチあり(KB5091575)
KB5082142の適用後、ドメインコントローラーでLSASS(Local Security Authority Subsystem Service)がクラッシュし、サーバーが再起動を繰り返す状態に陥ります。
🚨 この障害がエンタープライズに与える影響
LSASSはWindows認証の中核サービスです。DCがクラッシュすると、ドメイン参加しているすべてのPCでログインができなくなり、業務が完全に停止する可能性があります。特にWindows Server 2022をメインのDCとして使用している環境では最優先での対応が必要です。
発生しやすい環境
| 条件 | 詳細 | リスク |
|---|---|---|
| 特権アクセス管理(PAM)が有効 | PAM環境でのLSASSメモリ管理との競合が発生 | 高 |
| 非グローバルカタログ(non-GC)DC | GCでないDCで認証要求を受けた際にクラッシュ | 高 |
| 起動直後の大量認証要求 | サーバー起動のごく初期段階でリクエストを受信した場合 | 高 |
| Hyper-V上で動作するDC | 仮想マシンとして動作するDCでも同様の現象が発生 | 中〜高 |
症状
- KB5082142適用後の再起動でサーバーが起動しない
- イベントログに「LSASS.exe」のクラッシュエラーが記録される
- ドメイン参加PCからのログインがすべて失敗する
- Active Directory認証サービスが応答しなくなる
- サーバーが自動的に再起動を繰り返す
- Hyper-V環境ではゲストVMの認証も停止する
不具合② バックアップソフトの機能停止
深刻度:高 ★★★★☆
Macrium Reflect・Acronis Cyber Protect・NinjaOne・UrBackupなどのバックアップソフトが正常に動作しなくなります。
原因: バックアップソフトが共通して使用する「psmounterex.sys」ドライバが、CVE-2023-43896への対策としてWindowsのブロックリストに追加されたためです。
症状
- バックアップの実行中にエラーが発生して停止する
- 保存済みのバックアップイメージが開けない・マウントできない
- VSSスナップショットの作成がタイムアウトする
表示されるエラーメッセージ:
VSS_E_BAD_STATE
Microsoft VSS has timed out during the snapshot creation
| ソフト名 | 影響を受ける機能 | 対応状況 |
|---|---|---|
| Macrium Reflect | イメージのマウント・スナップショット作成 | 最新版で対応 |
| Acronis Cyber Protect | クラウド同期・スナップショット・オフライン表示 | 対応中 |
| NinjaOne Backup | VSSスナップショット作成 | 対応中 |
| UrBackup Server | イメージ管理・マウント | 最新版で対応 |
不具合③ BitLocker回復キーの要求
深刻度:中 ★★★☆☆
アップデート適用後の再起動時に、BitLockerが有効なサーバーで突然「BitLocker回復キーを入力してください」という画面が表示されます。
発生条件
- OSドライブでBitLockerが有効になっている
- TPM検証プロファイルにPCR7が含まれているが「バインディング不可能」な状態
- 非推奨のグループポリシー(TPMプラットフォーム検証プロファイル)が有効
✅ 重要:1回の入力で解決します
BitLocker回復キーの入力は1回だけで済みます。正しいキーを入力すれば以降の再起動では再発しません。ただし、回復キーを紛失している場合はサーバーへのアクセスが完全に失われます。事前の回復キー確認を必ず実施してください。
不具合④ KB5082142のインストール自体が失敗する
深刻度:高 ★★★★☆
OOB修正パッチで解決
一部の環境では、KB5082142のインストールが途中で失敗してロールバックされるケースが確認されています。特定のサードパーティ製セキュリティソフトやドライバとの競合が原因の場合があります。OOBパッチ(KB5091575)の適用で解決します。
不具合⑤ Hyper-V環境での追加リスク
深刻度:高 ★★★★☆
Windows Server 2022をHyper-Vホストとして使用している環境では、DCクラッシュの影響が仮想マシンにも波及するリスクがあります。
影響範囲
- ホストOSがDCも兼ねている場合、ホストクラッシュで全VMの認証が停止
- ゲストVM上で動作するDCもLSASSクラッシュの対象となる
- ライブマイグレーション中に障害が発生するとクラスター全体に影響する可能性
⚠️ Hyper-V管理者への推奨
パッチ適用前に必ずVMのチェックポイント(スナップショット)を取得してください。また、Hyper-VホストとゲストVMの両方にOOBパッチを適用する必要があります。
4. 不具合別の対処法・緊急OOBパッチの適用
🚨 最優先:緊急OOBパッチ(KB5091575)の適用
LSASSクラッシュおよびインストール失敗に対する緊急修正パッチです。DC管理者は最優先で適用してください。
| 対象OS | OOBパッチKB番号 | 配信日 | 入手方法 |
|---|---|---|---|
| Windows Server 2025 | KB5091157 | 2026年4月19日 | Microsoft Update Catalog / WSUS |
| Windows Server 2022 | KB5091575 | 2026年4月19日 | Microsoft Update Catalog / WSUS |
| Windows Server 2019 | KB5091573 | 2026年4月19日 | Microsoft Update Catalog / WSUS |
【不具合①対策】LSASSクラッシュ・DC再起動ループの対処
パターンA:まだKB5082142を適用していない場合(予防的対処)
-
OOBパッチを事前にダウンロードする
Microsoft Update CatalogからKB5091575をダウンロードします。
URL:catalog.update.microsoft.com で「KB5091575」を検索
-
サーバーとVMのスナップショット・バックアップを取得する
Hyper-V環境の場合、ホストとすべての重要なゲストVMのスナップショットを取得します。
-
定例パッチ(KB5082142)を適用する
WSUSまたはWindows Updateから通常通り適用します。まず非重要DCでテスト適用することを強く推奨します。
-
直ちにOOBパッチ(KB5091575)を適用するwusa.exe KB5091575.msu /quiet /norestart
-
サーバーを再起動して正常動作を確認する
LSASSが正常に起動し、Active Directory認証・Hyper-V機能が正常に動作していることを確認します。
net logon dcdiag /test:replications repadmin /showrepl Get-VM | Select-Object Name,State
パターンB:すでにKB5082142を適用してDCが起動しない場合(緊急復旧)
🚨 作業前に必ず確認
DCが起動しない状態での作業です。Hyper-V環境の場合は仮想マシンの設定からロールバックも検討してください。物理サーバーの場合は以下の手順で対処します。
-
セーフモードまたはDSRM(ディレクトリサービス復元モード)で起動する
起動時に F8 を押し「セーフモード」を選択。またはbcdeditコマンドで設定します。
bcdedit /set safeboot dsrepair -
問題のあるパッチをアンインストールするwusa /uninstall /kb:5082142 /quiet /norestart
-
OOBパッチ(KB5091575)を適用する
別のPCでMicrosoft Update CatalogからKB5091575をダウンロードし、USBメモリ等でサーバーに転送して適用します。
wusa.exe KB5091575.msu /quiet /norestart -
セーフモード設定を解除して通常起動するbcdedit /deletevalue safeboot
その後サーバーを再起動します。
-
AD・LSASS・認証の正常動作を確認するrem イベントログでLSASSエラーがないか確認 eventvwr.msc rem ADレプリケーションの確認 repadmin /showrepl rem DCの診断 dcdiag /test:replications /test:netlogons rem Hyper-V環境の場合VMの状態確認 Get-VM | Select-Object Name,State,Status
-
定例パッチ(KB5082142)を再適用する
OOBパッチ適用後はKB5082142を再度適用しても安全です。セキュリティ修正のため再適用を推奨します。
Hyper-V環境でのゲストVM復旧手順
-
Hyper-Vマネージャーでゲストを強制停止するStop-VM -Name “DC-VM-Name” -Force
-
スナップショットからロールバックする(事前取得済みの場合)Restore-VMSnapshot -VMName “DC-VM-Name” -Name “Before-KB5082142”
-
OOBパッチを適用してから再起動する
ゲストVM内でKB5091575を適用してから、定例パッチを再適用します。
【不具合②対策】バックアップソフトが停止した場合
推奨:バックアップソフトを最新バージョンに更新する
| ソフト名 | 対処方法 |
|---|---|
| Macrium Reflect | 公式サイトから最新版をダウンロードして更新 |
| Acronis Cyber Protect | 管理コンソールから最新バージョンへのアップデートを適用 |
| NinjaOne Backup | 管理コンソールからドライバのアップデートを確認・適用 |
| UrBackup Server | 公式サイトから最新版をインストール |
緊急時の暫定対処(非推奨・セキュリティリスクあり)
⚠️ サーバー環境での使用は特に慎重に
この操作はBYOVD攻撃への防御を無効化します。最小限の期間のみ使用し、バックアップソフトの更新後は必ず元に戻してください。
rem ブロックを一時的に無効化(緊急時のみ)
reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f
rem バックアップソフト更新後、必ず元に戻す
reg add “HKLM\SYSTEM\CurrentControlSet\Control\CI\Config” /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 1 /f
【不具合③対策】BitLocker回復キーを求められた場合
-
BitLocker回復キーを確認する
- Active Directory: AD管理ツールでコンピューターオブジェクトのBitLockerキーを確認
- Microsoft Entra ID(旧Azure AD): 管理ポータルのデバイス管理から確認
- Microsoftアカウント: account.microsoft.com/devices/recoverykey
-
48桁の回復キーを入力して起動する
正しく入力するとサーバーが起動します。
-
グループポリシーを見直す(再発防止)gpedit.msc → コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 →「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイル」 →「未構成」または「無効」に設定
-
BitLocker回復キーをADにバックアップする(今後の備え)$BLV = Get-BitLockerVolume -MountPoint “C:” Backup-BitLockerKeyProtector -MountPoint “C:” -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId
5. 適用前の準備チェックリスト
🖥️ DC管理者向け(最優先)
- DCのフルバックアップ(またはスナップショット)を取得した
- BitLocker回復キーをActive DirectoryまたはEntra IDに保存・確認した
- PAMが有効な環境か確認した(有効な場合は特に注意)
- 非GCのDCが存在するか確認した
- OOBパッチ(KB5091575)を事前にダウンロードした
- まず非重要なDCでテスト適用する計画を立てた
- 業務時間外または低負荷時間帯での適用を計画した
- ロールバック手順を確認・準備した
🖥️ Hyper-V管理者向け
- すべての重要なゲストVMのチェックポイントを作成した
- Hyper-VホストOSとゲストVMのOOBパッチ適用計画を立てた
- ライブマイグレーションを停止してからパッチ適用する計画にした
- フェールオーバークラスター環境では段階的ロールアウト計画を立てた
📦 バックアップ管理者向け
- バックアップソフト(Macrium・Acronis等)を最新バージョンに更新した
- パッチ適用前に手動フルバックアップを取得した
- バックアップの復元テストを事前に実施した
- VSSスナップショットが正常に動作するか確認した
⚠️ フェールオーバークラスター環境での特別注意
Windows Server 2022をフェールオーバークラスターとして使用している場合、すべてのノードに同時適用しないでください。1ノードずつ適用し、各ノードの安定動作を確認してから次のノードへ進めてください。
6. よくある質問
Windows Server 2022のサポートはいつまでですか?
Windows Server 2022のメインストリームサポートは2026年10月13日まで、延長サポート(セキュリティ更新のみ)は2031年10月14日まで継続されます。現在は通常サポート期間内のため、引き続きセキュリティアップデートと品質改善更新が提供されます。
KB5091575だけ適用すれば定例パッチ(KB5082142)は不要ですか?
いいえ。KB5091575はKB5082142の問題を修正するパッチです。SharePointの脆弱性などセキュリティ修正はKB5082142に含まれているため、両方の適用が必要です。OOBパッチは定例パッチの代替ではなく補完です。
Hyper-Vのゲストとホスト、どちらから先に適用すべきですか?
推奨順序は「ゲストVM → ホストOS」です。ゲストVMのDCから先に定例パッチ+OOBパッチを適用し、安定動作を確認してからホストOSに適用します。ホストが先にクラッシュするとすべてのゲストに影響するため、この順序が安全です。
WSUSでOOBパッチを配信するにはどうすればよいですか?
WSUSの管理コンソールで「更新プログラム」→「すべての更新プログラム」から「KB5091575」を検索して承認します。OOBパッチはWSUSに自動表示されない場合があるため、Microsoft Update Catalogからの手動インポートも検討してください。管理者権限でWSUSサーバーのコマンドプロンプトから「wsusutil.exe import」を使用してインポートできます。
フェールオーバークラスター環境での安全な適用方法は?
クラスター対応更新(CAU)を使用して段階的に適用することを推奨します。まずパッシブノードにOOBパッチ含め適用→フェールオーバーテスト→アクティブノードに適用の順で進めてください。適用中はライブマイグレーションを一時停止し、クォーラムの維持を確認しながら作業します。
パッチを適用しないとどうなりますか?
SharePointのなりすまし脆弱性(CVE-2026-32201)などはすでに攻撃に悪用されています。長期間放置するとサイバー攻撃のリスクが高まります。OOBパッチと合わせて早期の適用を推奨しますが、必ずバックアップを取得してから実施してください。
7. まとめ・運用上の推奨事項
📋 今回の障害の全体像
| 不具合 | 深刻度 | 対処法 | 状態 |
|---|---|---|---|
| LSASSクラッシュ・DC再起動ループ | 最高 | KB5091575を適用 | 修正済み |
| KB5082142のインストール失敗 | 高 | KB5091575を適用 | 修正済み |
| Hyper-V環境への波及 | 高 | スナップショット+順次適用 | 手順で対応可 |
| バックアップソフト停止 | 高 | 各ソフトを最新版に更新 | 対応中 |
| BitLocker回復キー要求 | 中 | 回復キー入力・GPO見直し | 1回で解決 |
🔮 今後の運用に向けた推奨事項
① 段階的ロールアウトの徹底
非重要DCでのテスト → 安定確認 → Hyper-VゲストDC → Hyper-Vホスト → 本番重要DCの順序で適用してください。
② Hyper-V環境のスナップショット管理
パッチ適用前の定期的なVMスナップショット取得を運用フローに組み込んでください。ただしスナップショットは長期保存に適さないため、バックアップとの併用を推奨します。
③ BitLocker回復キーの集中管理
すべてのサーバーのBitLocker回復キーをADまたはMicrosoft Entra IDに集中管理し、定期的に保存状況を確認してください。
④ OOBパッチの監視体制
定例パッチ以外の緊急パッチにも迅速に対応できるよう、Microsoft Security Update GuideとWSUSのアラート設定を整備してください。
📌 DC・Hyper-V管理者が今すぐやること
- DCとHyper-VゲストVMのバックアップ・スナップショットを取得する
- BitLocker回復キーの保管状況をAD/Entra IDで確認する
- Microsoft Update CatalogからKB5091575をダウンロードする
- 非重要DCにKB5082142 → KB5091575の順でテスト適用する
- 安定動作を確認後、Hyper-Vゲスト → ホストの順で展開する
- バックアップソフトを最新バージョンに更新する
- フェールオーバークラスター環境では段階的ロールアウトを実施する
📎 参考情報
最終更新:2026年4月 / 参考:Microsoft公式リリースヘルスダッシュボード・Microsoft Security Update Guide・Windows Latest・各ベンダー公式情報
