Microsoftが3月の定例更新で84件の脆弱性を修正
Microsoftは2026年3月の「Patch Tuesday(パッチ・チューズデー)」において、84件のセキュリティ脆弱性を修正する月例更新を公開した。このうち2件は修正公開前にすでに情報が外部へ開示された「ゼロデイ脆弱性」であり、早急な適用が推奨される。
対象コンポーネントと脆弱性の概要
今回の更新で修正された脆弱性は、Windowsカーネル・Hyper-V・Kerberos認証・グラフィックスコンポーネントなど、Windowsの中核をなす多岐にわたるコンポーネントに及ぶ。特に注目されるのは、CVSSスコア(共通脆弱性評価システム)が高い権限昇格(EoP: Elevation of Privilege)系の脆弱性が複数含まれている点だ。
権限昇格系の脆弱性は、攻撃者がすでにシステムへの初期アクセスを得ている場合に、より高い権限を不正に取得するために悪用される。ランサムウェアや標的型攻撃における「横展開(ラテラルムーブメント)」の足がかりとなりやすく、企業環境では特に警戒が必要だ。
ゼロデイ脆弱性の詳細
2件の公開済みゼロデイについては、Microsoftが今月の修正時点で「野外での悪用(In the Wild)は確認されていない」と説明している。しかし、脆弱性の詳細情報が公開されている以上、攻撃者がエクスプロイトコードを開発するまでの時間は短い。セキュリティ研究者は「公開済みゼロデイは未修正の状態で放置してはならない」と口をそろえる。
企業環境での影響
Hyper-V(Windows標準の仮想化基盤)に関する脆弱性は、クラウドインフラや仮想デスクトップ基盤(VDI)を運用する企業に直接影響する可能性がある。また、KerberosはActive DirectoryベースのWindows企業ネットワーク認証の根幹をなすプロトコルであり、悪用された場合には認証情報の窃取やドメイン全体への影響につながりかねない。
日本企業の多くはActive Directoryを中心としたオンプレミス環境を維持しており、これらのコンポーネントへの脆弱性対応は特に重要度が高い。
推奨される対応
Windowsの「Windows Update」または組織のWSUS(Windows Server Update Services) ・SCCM/Intuneなどのパッチ管理ツールを通じて、可能な限り速やかに今月の更新プログラムを適用することを強く推奨する。
テスト環境での検証が必要な企業においても、公開済みゼロデイを含む今回の更新は優先度を上げて対処すべきだ。パッチ適用の前後でシステムの動作確認を実施し、問題が発生した場合に備えてロールバック手順を準備しておくことも重要となる。
Microsoftのセキュリティアップデートガイドでは、各CVE(共通脆弱性識別子)番号ごとに詳細な影響範囲と深刻度が公開されている。システム管理者はこれを参照しながら自環境への影響を精査することが望ましい。
元記事: Microsoft Patches 84 Flaws in March Patch Tuesday, Including Two Public Zero-Days