Microsoft

4月パッチでドメコンが再起動ループ、企業認証基盤を直撃

Microsoftの4月定例更新KB5082063/KB5082142を当てた一部ドメコンがLSASSクラッシュで再起動を繰り返している。個人PCは無関係。直撃されているのは企業の認証基盤そのものだ。

情報の灯台

2026年4月17日

「Windows PCが再起動する」という見出しの罠

まずは誤解を解きたい。この不具合は、家庭で使っているWindows 11のPCとは関係がない。

Microsoftが自社の「リリースヘルス」ダッシュボードで公表した内容を読むと、この問題はWindows Serverのみに影響し、コンシューマーPCや個人デバイスには影響しないと明記されている。にもかかわらず、海外メディアの一部は「Windows PCが再起動を繰り返す」という見出しで報じた。この見出しだけを見て青ざめた読者もいるだろうが、対象はあくまで企業のドメインコントローラー(DC)だ。

ただし、ここで安心してページを閉じるのは早い。企業のDCが止まれば、その企業のアカウントでログインして業務をしている社員全員の手が止まる。ファイルサーバーもメールも社内システムも認証が通らない。他人事ではない。

何が起きているのか

2026年4月のWindowsセキュリティ更新プログラム(KB5082063)とリブート後、特権アクセス管理(PAM)を使用する環境の非グローバルカタログ(non-GC)ドメインコントローラー(DC)で、スタートアップ中にLSASSのクラッシュが発生することがある。

Microsoftの公式声明は、ひどく淡々としている。しかし淡々と書かれた一文の先には、ドメイン全体が使用不可能になるという結末が待っている。

影響を受けたDCは繰り返し再起動し、認証とディレクトリサービスの機能が停止し、ドメインそのものが使えなくなる可能性があると、Microsoftは警告している。クラッシュしているのはLSASS(Local Security Authority Subsystem Service)、Windowsの認証処理の心臓部だ。ここが倒れると、ドメイン参加PCからの「あなたは誰ですか」という問い合わせにDCが答えられなくなる。誰もログインできない。何も開けない。

LSASSはローカルおよびリモートのサインインを検証し、ローカルのセキュリティポリシーを強制するプロセスだ。PAM(Privileged Access Management)は、既存の隔離されたActive Directory環境で管理者が特権アクセスを制限するための仕組みで、主にインターネットから隔離された環境向けに推奨されている。

影響範囲は広い。Windows Server 2025、Windows Server 2022、Windows Server 23H2、Windows Server 2019、Windows Server 2016の5世代が対象リストに並んでいる。10年分のWindows Serverが横並びで同じ地雷を踏んだ形だ。

「条件」がそろった組織だけが落ちる

ただし、4月パッチを当てたDCすべてが倒れるわけではない。発動条件がある。

非グローバルカタログDC(non-GC DC)であること
特権アクセス管理(PAM)を導入している環境であること

この2つを満たす組織のDCが、スタートアップ時にLSASSクラッシュを起こす。PAMとは、ドメイン管理者のような強い権限を恒常的には持たせず、必要なときだけ特権をひと匙ずつ渡す仕組みだ。Active Directoryの隔離された領域で特権アクセスを厳格に管理するためのものなので、セキュリティに神経を使っている組織ほど地雷原に入りやすいという皮肉な話になっている。

さらに厄介なのは、既存DCだけでなく新規にDCを立ち上げる場面でも発動し得る点だ。認証リクエストが起動中の早い段階で処理される環境では、既存DCでも新規DCでもこの問題が起こり得るという。災害復旧や拡張でDCを新しく組むときに限って、起動すら完了しないDCを相手にすることになる。

影響を受けたDCは再起動を繰り返す可能性があり、認証とディレクトリサービスの動作を妨げ、ドメインを使用不可能にする恐れがある。

Microsoft公式声明の意訳である。

回避策は「Microsoftに連絡しろ」だけ

現時点でMicrosoftが提供している回避策は、正直に言ってかなり不親切だ。

IT管理者にMicrosoft Support for Businessへ連絡して緩和策を入手するよう求めており、その緩和策は4月パッチを適用した後でも適用可能だとしている。つまり、公開された手順書やレジストリ設定で自力回避はできない。Microsoftのサポート契約を経由して、個別にKIR(Known Issue Rollback)か同等の設定を貰って来いという指示だ。

問題は、有事のDC停止にサポート窓口の営業時間が追いつくのか、という点だ。オンラインフォーラムではサポート契約がない場合、個別ケースを開くのに400ドル(約6万3700円)が必要という声もあり、この費用はMicrosoftが後日返金することもあるが、返金交渉自体が手間だという実務家の嘆きも出ている。認証基盤が止まっている最中に金額の交渉をしている場合ではない。

これは「初めて」ではない、という事実

この件の本当に重たい論点は、ここから先だ。

MicrosoftのWindows Server更新は、ここ数年、毎年のようにDCのLSASSを壊している。

2024年3月:KB5035855およびKB5035857でLSASSのメモリリーク、DCが再起動ループ
2024年5月:4月更新で発生したNTLM認証障害とDC再起動を修正
2025年6月:4月更新由来のWindows Server認証問題を修正
2026年4月:本件

Microsoftはここ数年、セキュリティ更新が引き金となるドメインコントローラーの問題を繰り返し後追いで修正してきた。直近でも2025年6月に2025年4月更新の認証問題を潰し、その前は2024年5月に2024年4月更新のNTLM障害を潰し、さらに前は2024年3月に緊急帯域外更新でDCクラッシュを収拾した。

そして2026年4月、また同じ場所が壊れた。

パッチの具体的な中身は毎回違う。メモリリークだったりKerberosの整合性だったりNTLM認証だったりLSASSのスタートアップクラッシュだったりする。しかし、壊れる場所が同じというのは偶然では説明しづらい。LSASSとActive Directoryが絡む認証経路は、Microsoft自身にとっても毎月のパッチで踏み抜きやすい地雷原になっているように見える。

4月更新の「三重苦」

さらに今月のWindows Server管理者にとって気が重いのは、DC再起動ループだけが問題ではない点だ。同じKB5082063が、独立した別の問題を2つ抱えている。

ひとつは、Windows Server 2025の一部デバイスが初回再起動時にBitLockerリカバリ画面に落ちて、48桁のリカバリキーを要求するという問題。PCR7を含むTPMプラットフォーム検証のグループポリシーと、Secure Bootの特定構成が揃った環境でのみ発動する条件付きの不具合で、これも個人PCではほぼ発生しない、企業管理機の不具合だ。

もうひとつは、Windows Server 2025の一部でKB5082063のインストール自体がエラーコード800F0983で失敗するという問題。Microsoftは診断データで確認済みだと認め、原因を調査中としている。

4月のパッチ火曜日は、Microsoft公式ドキュメントが認めているだけでもWindows Server 2025に対して、インストール失敗、起動後のBitLockerリカバリ誤作動、そしてPAM環境でのDC再起動ループという三重苦を背負わせた。それでもスキップする選択肢は現実には存在しない。4月のパッチ火曜日では実際に悪用されている2件のゼロデイを含む167件の脆弱性が修正されており、企業環境で更新そのものを見送るのは現実的ではないからだ。

守るために入れるパッチが、守るべきものを止める

「セキュリティのためにパッチを入れる」という行為が、セキュリティのかなめであるDCを停止させる。この逆説が、たとえば1社で起きただけなら事故で済む。しかし毎年繰り返されるとなれば、それは事故ではない。

PAMを導入している組織は、一般論として情報資産を重く扱っている組織だ。そうした組織ほど、4月の更新でドメイン全体が不安定化するリスクをいま真っ先に背負わされている。皮肉を通り越して、構造的な歪みに近い。

当面、管理者にできる現実的な選択肢は限られている。PAM環境のDCに限っては4月更新の適用をステージング環境で事前に試し、本番DCには展開を一時停止する、という古典的な運用を徹底するしかない。そしてMicrosoft自身が恒久修正を出すのを待つ。発表文には「今後数日のうちに修正をリリースする」という主旨の記述がある。その「今後数日」が、何度目の「今後数日」になるのかは、当事者ほどよくわかっているはずだ。

参照元