Microsoft SQL のゼロデイ CVE-2026-21262:最高管理者レベルへの権限昇格

Microsoft SQL Server Zero-Day Vulnerability Allows Attackers to Escalate Privileges

2026/03/11 CyberSecurityNews — 2026年3月10日の Microsoft Patch Tuesday で、SQL Server に存在する深刻なゼロデイ脆弱性 CVE-2026-21262 (CVSS v3.1:8.8:Important) が公開された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデータベース・システム上の最高管理者レベルへの権限の昇格が可能となる。すでに情報が公開されている脆弱性であるため、エンタープライズ環境で SQL Server を運用する組織は深刻なリスクに直面している。

この脆弱性は、SQL Server 内の Improper Access Control (CWE-284) に起因し、認証済み攻撃者に対してネットワーク経由での権限昇格を許すものである。

Microsoft のアドバイザリによると、この欠陥の悪用に成功した脅威アクターは、SQL sysadmin 権限を取得可能である。SQL Server 環境における最高権限であり、データベース・インスタンスの完全な制御を奪取される可能性がある。

攻撃ベクターは、ネットワーク経由/攻撃の低複雑性/低レベルの権限/ユーザー操作は不要である。機密性/完全性/可用性の 3要素が High と評価されており、データ機密性が重要な環境において特に危険である。

Microsoft SQL Server のゼロデイ脆弱性

Microsoft の定義に基づき、CVE-2026-21262 は公開済みのゼロデイ脆弱性として扱われているが、現時点では積極的な悪用は確認されていない。悪用可能性は “Exploitation Less Likely” 評価されているが、情報が公開済みであるため、脅威アクターが実用的なエクスプロイトを開発する際の障壁は低下している。

明示的な権限を持つ認証済み攻撃者であれば、SQL Server インスタンスへログイン後に、この脆弱性を介したアクセスを悪用し、セッションを sysadmin レベルへ昇格できる。

この種の権限昇格は、マルチテナント環境や共有データベース環境において特に危険である。正規アクセスを持つ低権限ユーザーにより、容易に攻撃が引き起こされる恐れがある。

すでに Microsoft は、SQL Server 2016〜2025 を対象とするセキュリティ更新を公開している。管理者にとって必要なことは、自環境のバージョンを確認し、該当する GDR または Cumulative Update (CU) を適用することだ。主な更新は、以下のとおりである。

  • SQL Server 2025:KB 5077466 (CU2+GDR)/5077468 (RTM+GDR)
  • SQL Server 2022:KB 5077464 (CU23+GDR)/5077465 (RTM+GDR)
  • SQL Server 2019:KB 5077469 (CU32+GDR)/5077470 (RTM+GDR)
  • SQL Server 2017:KB 5077471/5077472
  • SQL Server 2016:KB 5077473/5077474

Windows Azure (IaaS) 上でホストされる SQL Server インスタンスは、Microsoft Update 経由または Microsoft Download Center からの手動ダウンロードにより更新可能である。

すでに情報が公開されている脆弱性であるため、セキュリティ・チームは直ちにパッチを適用すべきである。それに加えて、SQL Server ユーザー権限の監査と、信頼済みアカウントだけへの特権制限、データベース・ログにおける異常な権限昇格アクティビティの監視が必要となる。

Microsoft によるサポートが終了したバージョンに関しては、サポート対象バージョンへアップグレードし、将来のセキュリティ更新を受け取る必要がある。

Microsoft は 2026年3月10日の Patch Tuesday において、SQL Server に存在する深刻なゼロデイ脆弱性 CVE-2026-21262 (CVSS:8.8) が公開されました。この問題の原因は、SQL Server 内の不適切なアクセス制御 (CWE-284) にあります。この脆弱性は、低権限のユーザーであっても悪用が可能であり、ネットワーク経由でサーバにログインした後に、最高管理者権限である sysadmin に昇格する恐れがあります。

この脆弱性の最大のリスクは、情報の公開が先行しているゼロデイ状態である点です。攻撃の複雑性が低く、特別なユーザー操作も不要なため、一度データベースへのアクセスを許すと、情報の窃取や改竄/システムの破壊といった完全な制御を奪われる恐れがあります。特に、複数のユーザーが利用するマルチテナント環境や共有データベースを運用している組織は、内部不正や侵害されたアカウントからの攻撃に対して、きわめて脆弱な状態となります。 ご利用のチームは、ご注意ください。よろしければ、SQL Server での検索結果も、ご参照ください。