2026年3月パッチチューズデー:84件の脆弱性を修正、2件はすでに情報公開済み
Microsoftは2026年3月の第2火曜日(パッチチューズデー)に、Windows・Office・Azure・SQL Server・Hyper-V・Edgeなど幅広い製品にわたる84件の脆弱性を修正するセキュリティアップデートをリリースした。このうち8件がCritical(緊急)、残りはImportant(重要)に分類されている。
現時点で積極的な悪用は確認されていないものの、2件の脆弱性はパッチ公開前に情報が開示済みであり、攻撃者による探索リスクが高まっていることから早急な対応が求められる。
公開済み脆弱性(パッチ前に情報が流出)
CVE-2026-26127 — .NET サービス拒否(DoS)
.NETのBase64Urlデコードロジックにおける**境界外読み取り(Out-of-Bounds Read)**に起因する欠陥。.NET 9および10上で動作するアプリケーションが、不正な入力データを処理する際にクラッシュする。
認証不要でリモートから攻撃可能であり、Windows・Linux・macOSのいずれの環境でもサービス妨害(DoS)を引き起こせる。対象となるのは複数の.NETランタイムビルドおよびMicrosoft.Bcl.Memoryパッケージ。パッチ前に情報が公開されていることで、日和見的な攻撃者による悪用試行が増加する可能性があるため、早急なアップデートが推奨される。
CVE-2026-21262 — SQL Server 特権昇格(EoP)
CVSSスコア**8.8(High)**と評価されたこの脆弱性は、SQL Server内のアクセス制御の不備により、低権限の認証済みユーザーがネットワーク経由でsysadmin(システム管理者)権限へ昇格できるというものだ。
sysadmin権限を取得されると、データベース全体・リンクサービス・SQL Server設定のすべてが攻撃者の手に渡る。正規の認証情報を持つ内部犯や標的型攻撃において悪用が容易なため、最小権限の原則(Least Privilege)の徹底と合わせた早期パッチ適用が不可欠だ。
Critical(緊急)脆弱性の主な内容
CVE-2026-21536 — Microsoft Devices Pricing Program リモートコード実行(RCE)
Microsoftのデバイス価格プログラムサービスに存在する認証不要・ユーザー操作不要のRCE脆弱性。ネットワーク経由での悪用が可能であり、クラウド連携エンタープライズ環境では特に危険度が高い。
ただし、Microsoftはサービス側での対応を完了しており、ユーザー側のアクションは不要と確認している。
CVE-2026-26110 / CVE-2026-26113 — Microsoft Office RCE
Microsoft Officeにおける2件のRCE脆弱性。プレビューペインで悪意あるファイルを表示するだけでコード実行が可能という点が特に危険だ。ポインタ処理や型の混乱(Type Confusion)に起因し、ユーザー権限でのマルウェア実行や横断侵害(ラテラルムーブメント)につながる恐れがある。
注目の脆弱性:PrintNightmare類似のWindowsプリントキュー問題
今月のアップデートには、2021年に大きな被害をもたらしたPrintNightmareを想起させるWindowsプリントキュー関連の脆弱性も含まれている。日本企業でもプリンターサーバーを多用している環境では、特に注意が必要だ。
対応の優先度
優先度 対象
最優先 SQL Server(CVE-2026-21262)/.NET(CVE-2026-26127)
高 Microsoft Office(プレビューペイン経由RCE)
確認推奨 Windowsプリントキュー関連パッチ
企業の情報システム担当者は、今月のWindows Updateを早期に適用するとともに、SQL Serverの権限設定を見直すことを強く推奨する。