2026年3月パッチチューズデー:94件の脆弱性を修正、AI悪用型の新手口も登場

MicrosoftとAdobeは2026年3月のセキュリティ更新プログラム(通称「パッチチューズデー」)を公開した。セキュリティ研究機関 Zero Day Initiative(ZDI) のDustin Childs氏による詳細分析によると、今月はMicrosoft・Adobe合計で94件の脆弱性(CVE)が修正されており、セキュリティ担当者は優先的な適用が求められる。

Adobe:80件のCVEを修正、複数製品に重大な脆弱性

Adobeは今月、以下の8製品に対してセキュリティ情報を公開し、計80件のCVEに対処した。

  • Adobe Acrobat Reader
  • Adobe Commerce
  • Illustrator
  • Substance 3D Painter / Stager
  • Premiere Pro
  • Experience Manager
  • DNG Software Development Kit(SDK)

優先度が最も高いのは Acrobat Reader の更新で、Critical評価2件・Important評価1件の計3件を修正。Substance 3D Stager は任意コード実行につながるCritical評価の脆弱性を6件含んでおり、早急な対応が必要だ。Experience Manager は33件と最多のCVE修正を含むが、大半がXSS(クロスサイトスクリプティング)であり緊急性は低め。

今月のAdobe製品に関しては、リリース時点で公開済みまたは悪用中の脆弱性は報告されていない。

Microsoft:84件の新規CVE、うち8件がCritical評価

Microsoftは今月、以下のコンポーネントに関する84件の新規CVEを修正した。

  • Windows・Windowsコンポーネント(グラフィックス、カーネル、アクセシビリティ基盤など)
  • Microsoft Office・Officeコンポーネント
  • Microsoft Edge(Chromiumベース)
  • Azure、SQL Server、Hyper-V Server
  • Windows Resilient File System(ReFS)

サードパーティ・Chromiumの更新を含めると合計94件。Critical評価は8件、残りはImportant評価となっている。先月と異なり、現時点で悪用が確認されている脆弱性はゼロであるが、2件は「公開済み」として報告されている。

注目の脆弱性:AIを悪用したゼロクリック情報漏洩

今月特に注目すべきは CVE-2026-26144(Microsoft Excel 情報漏洩脆弱性)だ。

これはExcel内のXSS脆弱性だが、攻撃者がこれを利用して Microsoft Copilot エージェントに標的のデータを外部へ送信させるという手口が成立する。ユーザーの操作なしにデータが流出するため、実質的に「ゼロクリック型の情報漏洩」となる。情報漏洩脆弱性でCritical評価は異例だが、このシナリオでは妥当な評価といえる。

AIアシスタント機能が企業環境に広く普及する中、このような「AIを踏み台にした攻撃」は今後増加することが予想される。日本企業でもMicrosoft 365 Copilotの導入が進んでいるため、特に注意が必要だ。

Outlookプレビューペイン経由のリモートコード実行にも注意

CVE-2026-26110 / CVE-2026-26113(Microsoft Office リモートコード実行脆弱性)は、Outlookのプレビューペインが攻撃ベクターとなる脆弱性だ。メールを開かずにプレビューするだけでコードが実行される可能性がある。ZDIは「過去1年でこの手口のパッチが何件適用されたか数えきれない」と述べており、近いうちに実際の攻撃で悪用される可能性を警告している。

Outlookの最新バージョンではプレビューペインを非表示にする設定が可能なため、リスク低減策として設定の見直しを推奨する。

セキュリティ担当者への推奨対応

優先度 対象 理由

最優先 Windows全般(8件Critical) 特権昇格・RCE脆弱性含む

高 Microsoft Excel / Office ゼロクリック情報漏洩・RCE

高 Adobe Acrobat Reader Critical評価複数

中 Adobe Substance 3D Stager Critical 6件(任意コード実行)

現時点での悪用報告はないが、特にAI連携機能を活用している組織では CVE-2026-26144 を最優先で対処することを強く推奨する。

元記事: The March 2026 Security Update Review — Zero Day Initiative