Microsoft 2026-03 月例アップデート:2 件のゼロデイを含む 79 件の脆弱性に対応

Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws

2026/03/10 BleepingComputer — 今日は Microsoft の 2026年3月 Patch Tuesday の日であり、合計で 79件の脆弱性に対するセキュリティ更新が公開された。そこには、2件の公開済みゼロデイ脆弱性が含まれる。今回の更新では、3件の Critical 脆弱性も修正されており、そのうち 2件は Remote Code Execution (RCE) に、1件は Information Disclosure に分類される。

一連の脆弱性カテゴリ内訳は、以下の通りである。

  • 46件:Elevation of Privilege
  • 2件:Security Feature Bypass
  • 18件:Remote Code Execution
  • 10件:Information Disclosure
  • 4件:Denial of Service
  • 4件:Spoofing

なお、この記事における脆弱性の件数は、今日の時点で Microsoft が公開した更新のみを対象としている。したがって、今月の初旬に修正された 9件の Microsoft Edge/Mariner/Payment Orchestrator Service/Azure/Microsoft Devices Pricing Program に関する脆弱性は含まれない。

非セキュリティの更新については、Windows 11 KB5079473/KB5078883 累積更新と、Windows 10 KB5078885 拡張セキュリティ更新を参照する必要がある。

2 件のゼロデイ脆弱性と Office の欠陥

今月は、2件の公開済みゼロデイが修正されたが、いずれも現時点での悪用は確認されていない。Microsoft のゼロデイ定義は、公式修正が未提供の状態で、公開または悪用された脆弱性となっている。

対象となるゼロデイ脆弱性は、以下の 2件ある。

CVE-2026-21262 – SQL Server Elevation of Privilege Vulnerability

SQL Server における不適切なアクセス制御により、ネットワーク経由での権限昇格を許す恐れがある。攻撃に成功した脅威アクターは、SQLAdmin 権限を取得できる。この脆弱性は、Erland Sommarskog により報告された。

CVE-2026-26127 – .NET Denial of Service Vulnerability

この脆弱性を悪用する未認証の脅威アクターは、.NET における out-of-bounds read を引き起こし、ネットワーク経由でサービス拒否を引き起こす可能性を得る。この脆弱性は、匿名の研究者により報告された。

さらに、Microsoft Office における 2件の RCE の脆弱性 CVE-2026-26110/CVE-2026-26113 も修正された。これらの脆弱性は、プレビュー・ペイン経由での悪用が可能であるため、優先的な更新が推奨される。

その一方、Microsoft Excel の Information Disclosure の脆弱性 CVE-2026-26144 も、注目すべきである。この脆弱性は、Microsoft Copilot を介したデータ流出に悪用される可能性がある。

この脆弱性を悪用する攻撃者は、Copilot Agent モードでは意図されていないネットワーク経路を通じて、データを外部へ向けて送信できる。ゼロクリック型の情報漏洩が発生する可能性がある。

今月の他ベンダーによるアップデート

2026年3月の他ベンダーによる更新は、以下のとおりである。

  • Adobe:Commerce/Illustrator/Substance 3D Painter/Acrobat Reader/Premiere Pro などの更新を公開した。悪用は確認されていない。
  • Cisco:多数の製品向けに更新を公開した。
  • Fortinet:FortiOS/FortiPAM/FortiProxy の更新を公開した。
  • Google:Android 3月セキュリティ・ブリテンを公開し、Qualcomm ディスプレイ・コンポーネントにおける悪用確認済みゼロデイを修正した。
  • HPE:HPE Aruba Networking AOS-CX の複数の脆弱性を修正した。
  • SAP:3月セキュリティ更新を公開し、2件の Critical 脆弱性などを修正した。

2026年3月 Patch Tuesday における、それぞれ脆弱性の詳細な説明および、影響を受けるシステムについては、完全なレポートで参照できる。