2026年7月14日(日本時間)に配信されたWindows Server 2022の月例アップデート(Patch Tuesday)KB5099540について、Microsoftが公式に案内している既知の問題と、今回のセキュリティ更新の概要をまとめます。今回は過去最大規模のセキュリティ修正件数となったこともあり、不具合情報とあわせて optional の対応スケジュールも確認しておきましょう。
📋 改訂履歴
| 版 | 日付 | 更新内容 |
|---|---|---|
| v1.0 | 2026年7月16日 | 初版公開(KB5099540の既知の問題①〜④、およびAD FS DKMコンテナACL強化についての運用上の注意点を掲載) |
※本アップデートは公開から日が浅いため(2026年7月14日配信/本記事執筆時点で2日後)、今後コミュニティ側から追加の不具合報告が寄せられる可能性があります。続報が入り次第、改訂履歴に追記します。
📋 今月(2026年7月)のWindows Server 2022 更新プログラム
| 対象バージョン | KB番号 | ビルド番号 | 配信日 |
|---|---|---|---|
| Windows Server 2022 | KB5099540 | 20348.5386 | 2026年7月14日 |
| └ サービシングスタック更新(SSU) | KB5120210 | 20348.5384 | 2026年7月14日 |
| Windows Server 2025 | KB5099536 | 26100.33158 | 2026年7月14日 |
| Windows Server 2019 | KB5099538 | 17763.9020 | 2026年7月14日 |
| Windows Server 2016 | KB5099535 | 14393.9339 | 2026年7月14日 |
| Windows Server 2012 R2 / 2012(ESU) | KB5099444 / KB5099445 | — | 2026年7月14日 |
※本記事はWindows Server 2022(KB5099540)を主対象としていますが、比較のため同時配信された他バージョンのKBも参考として掲載しています。
✅ KB5099540 の主な新機能・修正(参考情報)
KB5099540は前月(KB5094128)からの既知の問題対応に加え、以下の新機能・セキュリティ強化を含みます。
- 🔐 セキュアブート証明書の対象拡大:高信頼デバイスへの新証明書(Windows UEFI CA 2023)配信対象をさらに拡大
- ✅ [修正] Office COM/OLE Automation破損:前月(KB5094128)適用後にサードパーティ製アプリがOLE AutomationでOfficeを起動できなくなる不具合を修正
- ✅ [修正] OneDriveショートカットが管理者モードで機能しない:エクスプローラーを管理者権限で実行した際にOneDriveのショートカットが動作しない不具合を修正
- ✅ [修正] ごみ箱の削除確認ダイアログの内部ファイル名表示:完全削除時の確認ダイアログに内部管理ファイル名が表示される不具合を修正
- 🛡️ Microsoft Defender for Identity(MDI)のNTLM監査強化:NTLM認証に関するイベント捕捉を強化し、ID関連の脅威検知を改善
- 🔑 AD FS Distributed Key Manager(DKM)コンテナのACL強化 要注意:実際に悪用が確認されたゼロデイ脆弱性CVE-2026-56155への対応。監査モードを本更新で導入、2026年10月に自動是正へ移行予定(詳細は不具合⑤)
- 🌐 Windows Failover Clusterの信頼性向上:クラスター仮想IPアドレスのSkipAsSource設定を正しく構成し、DNSレコードの正確性とネットワーク通信の安定性を改善
- 🔒 リモートデスクトップ(RDP)のセキュリティ強化:信頼済みRDP発行者の証明書にSHA-2サムプリントのサポートを追加。SHA-1は後方互換のためのみ維持され、将来的に廃止予定
- 🛠️ 206件超のセキュリティ脆弱性を修正(詳細は本記事末尾の補足情報を参照。過去最大規模のPatch Tuesdayとなりました)
📌 この記事の内容
⚠️ 不具合①:一部環境でBitLockerの回復キー入力を求められる(初回再起動時)
症状
特定のBitLockerグループポリシー構成(非推奨の構成)を持つ一部のデバイスにおいて、KB5099540適用後の初回再起動時にBitLockerの回復キー入力を求められる場合があります。この問題は、以下のすべての条件が揃っている場合にのみ発生します。一般ユーザーの個人デバイスで発生する可能性は低いとされています。
条件(すべて満たす場合のみ発生)
- OSドライブでBitLockerが有効になっている
- グループポリシー「ネイティブUEFIファームウェア構成用のTPMプラットフォーム検証プロファイルを構成する」が構成されており、検証プロファイルにPCR7が含まれている(または同等のレジストリキーが手動設定されている)
- システム情報(msinfo32.exe)で「セキュアブートの状態のPCR7バインド」が「実行不可能」と表示される
- デバイスのセキュアブート署名データベース(DB)に「Windows UEFI CA 2023」証明書が存在し、2023年署名のWindowsブートマネージャーが既定になる対象となっている
- デバイスがまだ2023年署名のWindowsブートマネージャーで動作していない
この状況では、BitLocker回復キーの入力は一度だけ必要になります。グループポリシー構成が変更されない限り、以降の再起動で回復画面が再度表示されることはありません。
原因
今回の更新に伴うセキュアブート証明書の展開拡大により、対象デバイスが2023年署名のブートマネージャーへ切り替わる際、非推奨のPCR7構成を持つ環境ではTPMによるブート状態の測定値が変化したと判定され、安全のためBitLockerが回復モードに入ります。これはセキュアブート証明書失効(2026年6月以降順次進行中)に関連する一連の変更の一部です。
🔧 対処法(Microsoft公式案内・推奨は方法1)
方法1:更新プログラムを適用する前にグループポリシー構成を見直す(推奨)
- グループポリシーエディター(gpedit.msc)またはグループポリシー管理コンソールを開く
- 「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」→「オペレーティングシステムドライブ」に移動
- 「ネイティブUEFIファームウェア構成用のTPMプラットフォーム検証プロファイルを構成する」を「未構成」に設定
- 対象デバイスで
gpupdate /forceを実行してポリシー変更を反映 - C:ドライブでBitLockerが有効な場合、
manage-bde -protectors -disable C:を実行して一時停止 - 続けて
manage-bde -protectors -enable C:を実行して再開(Windowsが選択する既定のPCRプロファイルにバインドが更新されます)
方法2:すでに回復画面が表示された場合
account.microsoft.com/devices/recoverykey、またはActive Directory/Azure ADに保存されている回復キーを使用してサインインしてください。企業環境では、事前にドメイン管理者へ回復キーの所在を確認しておくことを推奨します。
方法3:組織全体で事前監査を行う(IT管理者向け)
更新プログラムの展開前に、対象デバイス群のBitLocker関連グループポリシーでPCR7が明示的に含まれていないか、また msinfo32.exe でPCR7バインド状態を確認することを強く推奨します。恒久的な解決策は将来のWindows更新で提供される予定です。
⚠️ 不具合②:サードパーティ製TDIトランスポートを利用するアプリが動作しなくなる
症状
KB5099540(および7月14日以降の他バージョン向けセキュリティ更新)適用後、サードパーティ製のTDI(Transport Driver Interface)トランスポートを経由するソケット通信が動作しなくなる場合があります。TDIトランスポートとは、アプリがネットワーク通信に使う「ソケット」の裏側で処理を行うレガシーなドライバーの仕組みです。VPNクライアント、一部のセキュリティ製品、古い業務用ネットワークソフトウェアなどがこの仕組みに依存しているケースがあります。
原因
未登録(TDIインターフェースに正しく登録されていない)のTDIトランスポートは長年セキュリティ上の弱点とされてきました。今回のセキュリティ強化により、ソケットトランスポートとして使用されるすべてのTDIトランスポートはTDIインターフェースへの登録が必須となり、登録されていないトランスポートはソケットトランスポートとして機能しなくなります。
🔍 影響を受けているか確認する方法
イベントビューアーの「Windows ログ」→「システム」で、イベントID AFD 16003「An unregistered TDI provider (\Driver<Name>) was detected」が記録されていないか確認してください。このイベントは再起動サイクルごとに1回のみ記録されます。
🔧 対処法(Microsoft公式案内)
方法1:TDIトランスポートを更新・置き換える(推奨・恒久対応)
影響を受けているサードパーティ製ドライバーのベンダーに問い合わせ、TDIインターフェースに正しく登録される最新版へアップデートしてください。
方法2:レジストリで検証レベルを一時的に緩和する(暫定対応)
レジストリ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters の AfdTdiUnknownProviderValidationLevel(REG_DWORD)を以下の値に設定することで、動作への影響度を調整できます。
| 値 | 動作 |
|---|---|
| 0(Ignore) | 検証を完全に無効化 |
| 1(LogUnregistered) | 検証は無効だが未登録プロバイダーをログ記録 |
| 2(BlockUnregistered・既定値) | 未登録プロバイダーをログ記録しブロック |
| 3(Block) | すべてのTDIプロバイダーをログ記録しブロック |
注意:検証レベルを0または1に下げることは、あくまで「ベストエフォート」の緩和策であり、システムは依然として脆弱な状態のままです。Microsoftは検証レベルを2(既定値)以上に保ち、対象のサードパーティ製TDIトランスポートを正しく登録されるバージョンへ更新・置き換えることを推奨しています。レジストリ変更前には必ずバックアップを取得してください。
⚠️ 不具合③:WSUSの同期エラー詳細が表示されない(継続中の既知の問題)
症状
KB5070884(2025年10月配信)以降の更新プログラムを適用したWSUS(Windows Server Update Services)サーバーでは、エラーレポート内に同期エラーの詳細情報が表示されなくなっています。KB5099540適用後も、この状態は継続しています。
原因
この機能は、リモートコード実行の脆弱性であるCVE-2025-59287に対応するため、一時的に削除されている仕様です。恒久的な代替手段については、今後のアップデートでの対応が見込まれます。
💡 関連情報:今回はWSUS自体の別の脆弱性も修正
今回のKB5099540では、WSUSサーバーに対する未認証の攻撃者がサービス拒否(DoS)状態を引き起こせる脆弱性 CVE-2026-50328(CVSS 7.5・重要度「重要」)も修正されています。WSUSサーバーの役割を持つすべてのマシン(ダウンストリーム・切断環境のWSUSサーバーを含む)で、本更新の速やかな適用が推奨されます。
🔧 対処法
方法1:イベントログや周辺情報から間接的に原因を調査する
WSUSコンソール上でエラー詳細が確認できない場合は、イベントビューアー、IISのログ、プロキシ設定、上流サーバーとの接続状況など、周辺情報から間接的に原因を切り分けてください。
方法2:恒久対応を待つ
この制限は意図的な一時対応であるため、現時点でユーザー側での回避策はありません。今後のセキュリティ更新での改善状況を継続して確認してください。
⚠️ 不具合④:一部のキーボードショートカットが反応しなくなる場合がある
症状
KB5099540には、ホットキー(キーボードショートカット)の登録解除・クリーンアップ処理の変更が含まれています。まれに、以前のホットキーのライフサイクル処理に依存していた一部のWindows組み込み機能が、特定のキーボードショートカットに一時的に反応しなくなる場合があります。
原因
ホットキーの登録解除とクリーンアップの挙動が変更されたことに伴う副作用です。多くの場合、影響を受けたアプリを再起動することで解消します。
🔧 対処法
方法1:影響を受けているアプリを再起動する(多くの場合これで解消)
ショートカットが反応しなくなったアプリを一度終了し、再度起動してください。
方法2:解消しない場合はフィードバックを送信する
再起動しても改善しない場合は、Feedback Hubアプリから問題を報告してください。
🚨 運用上の重要な変更:AD FS の DKM コンテナACL自動監査・是正機能(ゼロデイ対応)
これは「不具合」ではなく、実際に悪用が確認された権限昇格の脆弱性(CVE-2026-56155)に対するセキュリティ強化です。ただし、環境によっては構成の見直しが必要になるため、AD FSを運用している管理者は必ず内容を確認してください。
背景
AD FSは、トークン署名・トークン暗号化証明書の秘密鍵を保護するための対称鍵を、DKM(Distributed Key Manager)コンテナに格納しています。このコンテナのACL(アクセス制御リスト)が過度に緩い場合、DKMの鍵情報への読み取りアクセスを持つ攻撃者がトークン署名用の秘密鍵を復号できてしまう可能性があります。今回のPatch Tuesdayで修正されたゼロデイ脆弱性CVE-2026-56155は、まさにこの権限昇格の脆弱性であり、公開前から実際の攻撃で悪用されていたことが確認されています。
今回(2026年7月)導入される内容:監査モード
KB5099540適用後、AD FSサービスは起動時および以降24時間ごとに、DKMコンテナのACLを自動監査するようになります。この段階では自動的な変更は一切行われません。AD FSの管理イベントログで以下のイベントIDを確認してください。
| イベントID | レベル | 意味 |
|---|---|---|
| 1132 | 警告 | DKMコンテナのACLが期待される安全な状態と一致していない。確認が必要 |
| 1133 | 情報 | DKMコンテナのACLは正常。対応不要 |
| 1134 | エラー | 検出タスクでエラーが発生(LDAP接続失敗など) |
| 1135 | 情報 | 是正成功(従前のACLをSDDL形式でログに記録) |
| 1136 | エラー | 是正の試行に失敗 |
🔧 管理者が今すぐ行うべきこと
ステップ1:AD FSサーバー全台に本更新(またはそれ以降)を適用する
適用後、サービス起動から1分後、以降24時間ごとに自動監査が実行されます。
ステップ2:イベントID 1132の有無を確認する
1132が記録されている場合、DKMコンテナのACLが期待される安全な状態と一致していません。
ステップ3:監査期間中に是正をオプトインする(推奨)
ファーム内の任意の1台のAD FSサーバーで、レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS の RemediateDkmAcl(DWORD)を 1 に設定してください。設定後、最大24時間で次回の検出サイクル時に是正が実行されるか、AD FSサービスを再起動すると早く実行されます。
重要:是正成功時はイベント1135に従前のACL(SDDL形式)が記録されます。万一の互換性問題に備え、是正直後にこのSDDLをファイルへ保存しておくことを強く推奨します。
ステップ4:2026年10月13日の自動是正(強制モード)に備える
2026年10月の更新以降は、レジストリキーを設定していなくても既定で自動是正が実行されるようになります(RemediateDkmAcl = 1 と同等の挙動)。互換性の問題で自動是正を止めたい場合のみ、同キーを 0 に設定してオプトアウトできますが、その場合はDKMコンテナが脆弱な状態のまま残る点に留意してください。なお、Windows Server 2012/2012 R2では自動是正は適用されないため、手動でのACL是正が必要です。
✅ 前月から解消された既知の問題
前月(KB5094128)で報告されていた以下の既知の問題は、いずれも今回のKB5099540で解消済みです。
- ✅ [Apps] サードパーティ製アプリからOffice(Word/Excel/PowerPoint/Accessなど)がOLE Automation経由で起動できない:KB5094128適用後に発生していた問題で、KB5099540で修正済み
- ✅ [File Explorer] 管理者モードでOneDriveのショートカットが機能しない:エクスプローラーを管理者権限で実行した際にOneDriveショートカットが動作しない問題を修正
- ✅ [Recycle Bin] 完全削除の確認ダイアログに内部ファイル名が表示される:$Rから始まる内部管理ファイル名が表示される表示上の問題を修正(ファイル自体への実害はもともとありませんでした)
📊 まとめ・対処法一覧
| 項目 | 深刻度 | 対処法 |
|---|---|---|
| BitLocker回復キー要求(初回再起動時) 非推奨PCR7構成の環境限定 |
高 限られた条件下のみ |
①適用前にGPO「TPMプラットフォーム検証プロファイル」を未構成にし、BitLockerの一時停止/再開を実施 ②回復済みなら回復キーでサインイン |
| サードパーティ製TDIトランスポートが無効化 レガシーVPN・セキュリティ製品等 |
中〜高 該当ドライバー利用時のみ |
①ベンダーにTDI登録済みの最新版を確認 ②暫定的にAfdTdiUnknownProviderValidationLevelを調整 |
| WSUS同期エラー詳細が非表示 CVE-2025-59287対応の一時措置・継続中 |
軽微 運用上の不便のみ |
周辺ログ(イベントビューアー・IIS等)で代替調査 恒久対応を待つ |
| 一部キーボードショートカットが無反応 ホットキー処理の仕様変更に伴う副作用 |
軽微 | 影響を受けたアプリを再起動 解消しなければFeedback Hubへ報告 |
| 🚨 AD FS DKMコンテナACL監査・是正 ゼロデイ脆弱性CVE-2026-56155対応 |
要対応(AD FS運用時) 10/13から自動是正へ移行 |
①更新適用後イベントID 1132の有無を確認 ②RemediateDkmAcl=1で監査期間中に是正 ③従前ACL(SDDL)をバックアップ保存 |
| ✅ Office COM破損・OneDriveショートカット・ごみ箱表示 解消済み 前月KB5094128からの既知の問題 |
解消済み | KB5099540の適用で解消(特別な対応不要) |
📝 補足情報:2026年7月のPatch Tuesdayについて
過去最大規模のセキュリティ更新となりました。2026年7月のPatch Tuesdayは、Microsoft史上最大級の脆弱性修正件数となっています。集計方法により報道機関ごとに差があり、BleepingComputer・TechRepublic・Cyberpressは570件、Zero Day Initiative(Security Affairs経由)は621件、MalwarebytesとRapid7は622件と報告しています(いずれもMicrosoft Edge/Chromiumの修正約468〜480件は含まない集計)。いずれにせよ、前月(2026年6月・206件)から3倍規模へ急増しており、Microsoftが導入したAI支援の脆弱性発見システムが一因とされています。
ゼロデイ脆弱性は3件、うち2件は実際に悪用が確認されています。
- CVE-2026-56155(AD FS 権限昇格・実際に悪用確認済み):本記事の不具合⑤で詳説した、DKMコンテナACL強化の対象となった脆弱性です
- CVE-2026-56164(SharePoint Server 権限昇格・実際に悪用確認済み):Windows Server 2022上でSharePoint Serverを運用している場合は特に優先度高く対応してください
- CVE-2026-50661(BitLocker セキュリティ機能バイパス・公開済みだが悪用は未確認):物理アクセスを伴う攻撃で暗号化ドライブへのアクセスを許す可能性がある脆弱性です
このほか、Windows Server 2022環境に関連するものとして、Hyper-VのVMSwitchにおける権限昇格の脆弱性(CVE-2026-57092、CVSS 9.9)、Cloud Files Mini Filter Driverの使用後解放(Use-After-Free)による権限昇格(CVE-2026-58536)なども今回のKB5099540で修正されています。
セキュアブート証明書の更新に伴う注意点:今回を含む今後数か月のWindows更新では、一部の環境でセキュアブート証明書の更新処理に伴い、インストール中に通常より1回多く再起動が発生する場合があります。事前に周知しておくと安心です。
サポートライフサイクルについて:Windows Server 2022のメインストリームサポートは2026年10月13日に終了予定です。延長サポート(セキュリティ更新のみ提供)は2031年10月14日まで継続します。メインストリーム終了後は新機能・非セキュリティ修正・無償技術サポートが提供されなくなるため、次期バージョンへの移行計画を早めに検討することを推奨します。
🔗 参考・公式情報
- Microsoft サポート:July 14, 2026—KB5099540(OS Build 20348.5386)公式リリースノート(英語)
- Microsoft サポート:サードパーティ製TDIトランスポートに関する詳細情報(KB5106257・英語)
- Microsoft サポート:CVE-2026-56155 AD FS DKMコンテナACL強化に関する詳細情報(KB5121391・英語)
- Microsoft Learn:Windows Server 2022 既知の問題と通知(Windows正常性ダッシュボード)
- Microsoft Learn:Windows Server 2022 のサポートライフサイクル情報
- BleepingComputer:Microsoft July 2026 Patch Tuesday fixes massive 570 flaws, 3 zero-days(英語)
- Malwarebytes:July 2026 Patch Tuesday fixes 622 Microsoft CVEs, including three zero-days(英語)
- IT-Connect:Microsoft unveils its biggest Patch Tuesday ever with 570 flaws and 3 zero-days(英語)
- Windows Forum:CVE-2026-50328(WSUS DoS脆弱性)に関する解説(英語)
最終更新:2026年7月16日(v1.0)/ 情報は記事公開時点のものです。今後の公式発表やコミュニティからの追加報告により内容が変わる場合があります。

コメント