【2026年3月 Patch Tuesday】83件の脆弱性を修正、M365 Appsへの重大な影響に要注意

2026年3月のPatch Tuesday、83件の脆弱性を一斉修正

Microsoftは2026年3月の定例セキュリティ更新（Patch Tuesday）を公開し、合計83件の脆弱性を修正した。このうちMicrosoft Officeおよびその関連コンポーネントに関する3件がCritical（緊急）評価を受けており、企業のIT管理者は早急な適用対応が求められている。

Microsoft 365 Appsへの影響が最大の懸念点

今回の更新で特に注目されるのは、**Microsoft 365 Apps（旧Office 365）**への影響だ。Critical評価を受けた脆弱性は、攻撃者が細工された文書ファイルをユーザーに開かせることで、任意のコードをリモート実行できるリモートコード実行（RCE: Remote Code Execution）系の脆弱性が含まれている可能性がある。

日本企業においてもMicrosoft 365はビジネスの基幹ツールとして広く普及しており、WordやExcel、PowerPointといったアプリケーションを日常的に使用している環境では、フィッシングメールや悪意ある添付ファイルを介した攻撃経路として悪用されるリスクが高い。

IT管理者が取るべき対応

セキュリティ企業Arctic Wolfの分析によると、今回のPatch Tuesdayで修正された脆弱性の中でも、M365 Apps関連のCritical脆弱性については優先度を最上位として扱うべきとしている。具体的な推奨対応は以下のとおりだ。

• Microsoft 365 Appsの更新を即時適用する（自動更新が有効であっても手動確認を推奨）
• Windows Update / Microsoft Updateによる月例パッチの適用を全社展開する
• 展開が困難な環境では、一時的な緩和策（例：Protected Viewの強制有効化、外部からのマクロ実行ブロック）を検討する
• エンドポイント保護ツールのシグネチャが最新であることを確認する

毎月の定例作業として定着を

Patch Tuesdayは毎月第2火曜日（日本時間では翌水曜日の早朝）に実施されるMicrosoftの定例セキュリティ更新サイクルだ。件数や深刻度は月によって異なるが、2026年3月は83件と比較的多い件数となっており、Critical評価が複数含まれる点でも重要性の高い月次更新となっている。

組織内のセキュリティ担当者は、Patch Tuesday情報をウォッチするルーティンを確立し、Critical・Importantの脆弱性については72時間以内の適用完了を目標とすることが、業界標準のベストプラクティスとして推奨されている。

まとめ

2026年3月のPatch Tuesdayは、Microsoft 365を活用する日本企業にとって見逃せないセキュリティ更新だ。特にM365 AppsのCritical脆弱性3件については、攻撃が実証された場合の被害規模が大きいため、パッチ適用の優先度を高く設定して対応することを強く推奨する。

元記事: Microsoft Patch Tuesday: March 2026 — Microsoft 365 Apps Security Updates