Microsoft 2026年3月Patch Tuesday — 83件のCVEに対処、SMBサーバーでSYSTEM権限奪取の脆弱性も

Microsoftは2026年3月の月例セキュリティ更新（Patch Tuesday）を公開し、83件のCVE（Common Vulnerabilities and Exposures）に対処した。このうち8件がCritical（緊急）、75件がImportant（重要）と評価されている。

今月のパッチ概要

脆弱性の種類別では、**特権昇格（EoP）が全体の55.4%**を占め最多。続いてリモートコード実行（RCE）が20.5%となっている。対象製品は.NET、ASP.NET Core、Active Directory Domain Services、Azure各種サービス、Microsoft Office／Excel／SharePoint、SQL Server、Windows Kernel、Windows SMBサーバーなど広範にわたる。

注目の脆弱性

SMBサーバーの特権昇格（CVE-2026-26128）

今月最も警戒が必要な脆弱性のひとつ。Windowsのファイル共有プロトコルであるSMB（Server Message Block）サーバーに存在し、ネットワーク経由でSYSTEM権限を取得できる可能性がある。社内ネットワーク上の攻撃者に悪用された場合、ドメイン全体への侵害につながるリスクがある。

Microsoft Office RCE（CVE-2026-26110 / CVE-2026-26113）

Microsoft Officeに存在するリモートコード実行の脆弱性で、Critical評価。細工されたOfficeファイルを開くだけで攻撃者がコードを実行できる可能性があり、標的型攻撃での悪用が懸念される。

Excel 情報漏洩（CVE-2026-26144）

Microsoft Excel の情報漏洩脆弱性。Critical評価を受けており、悪意のあるスプレッドシートを通じて機密情報が外部に流出するリスクがある。

SQL Server 特権昇格（CVE-2026-21262 / CVE-2026-26115 / CVE-2026-26116）

3件のSQL Server EoP脆弱性。いずれもCVSSv3スコアは8.8（Important）。悪用に成功した場合、攻撃者はSQL sysadmin（システム管理者）権限を取得できる。CVE-2026-21262はパッチ公開前にゼロデイとして公開されており、早急な対応が推奨される。

.NET サービス拒否（CVE-2026-26127）

.NET 9.0および10.0に影響するDoS（サービス拒否）脆弱性。Windows、macOS、Linuxの全プラットフォームが対象で、CVSSv3スコアは7.5（Important）。こちらもパッチ公開前に情報が公開されている。

Windows Kernel 特権昇格（CVE-2026-24287 / CVE-2026-24289 / CVE-2026-26132）

Windowsカーネルの3件のEoP脆弱性。いずれもCVSSv3スコア7.8（Important）で、ローカルの認証済み攻撃者がSYSTEM権限を取得できる。CVE-2026-24289とCVE-2026-26132はMicrosoftが「悪用される可能性が高い」と評価しており、優先的な適用が望ましい。

対応のポイント

企業のシステム管理者は、特にSMBサーバーやSQL Server、Microsoft Officeを使用している環境で早急なパッチ適用を検討すべきだ。ゼロデイとして公開済みのCVE-2026-21262や、.NETのCVE-2026-26127については情報がすでに出回っているため、攻撃者が悪用コードを開発しやすい状況にある点にも注意が必要だ。

Windows Updateの自動更新が有効な環境では順次適用が進むが、SQL ServerやAzure関連のコンポーネントは手動での確認・適用が必要なケースもある。WSUS（Windows Server Update Services）やMicrosoft Endpoint Managerを利用している組織は、展開状況を速やかに確認することを推奨する。

元記事: Microsoft’s March 2026 Patch Tuesday Addresses 83 CVEs (CVE-2026-21262, CVE-2026-26127)