マイクロソフトは2026年3月の月例セキュリティ更新(Patch Tuesday)を公開し、Windowsおよび関連ソフトウェアの83件の脆弱性を修正した。今月は2件がパッチ公開前に既に悪用または公開が確認されたゼロデイ脆弱性として注目されている。
SQL Server と .NET に公開済み脆弱性
事前に公開されていた脆弱性のひとつ、CVE-2026-21262 は SQL Server 2016 以降に影響する特権昇格の欠陥だ。セキュリティ企業 Rapid7 のアダム・バーネット氏は「ネットワーク経由で sysadmin 権限への昇格が可能であり、CVSS v3 スコアは 8.8 と深刻度『重要』に迫る水準だ。先送りは難しい」と警告している。
もうひとつの CVE-2026-26127 は .NET アプリケーションに影響し、当面の影響はクラッシュ誘発によるサービス拒否(DoS)にとどまる見込みだが、サービス再起動中に別の攻撃手法が連鎖する可能性も否定できない。
プレビューペインを開くだけで危ない Office の RCE 脆弱性
毎月恒例となりつつある Microsoft Office の深刻な欠陥として、今月は CVE-2026-26113 と CVE-2026-26110 が浮上した。いずれもリモートコード実行(RCE)が可能であり、Outlook のプレビューペインで細工されたメッセージを表示するだけでトリガーされる点が特に危険だ。添付ファイルを開く操作すら不要なため、利用者は意図せず被害を受けるリスクがある。
特権昇格が今月の主役——「悪用の可能性が高い」6件を確認
セキュリティ企業 Tenable の分析によると、今月修正された CVE のうち約55%が特権昇格(EoP)バグだという。そのなかで「悪用の可能性が高い」と評価された主な脆弱性は以下の通り。
- CVE-2026-24291(CVSS 7.8): Windows アクセシビリティ インフラストラクチャの不適切な権限割り当てにより SYSTEM 権限へ昇格可能
- CVE-2026-24294(CVSS 7.8): SMB コアコンポーネントの認証不備
- CVE-2026-24289(CVSS 7.8): 高深刻度のメモリ破損+競合状態(レースコンディション)
- CVE-2026-25187(CVSS 7.8): Google Project Zero が発見した Winlogon プロセスの欠陥
歴史的マイルストーン:AIエージェントが発見した初のCVE
今月最も注目すべきトピックのひとつが CVE-2026-21536(CVSS 9.8)だ。Microsoft Devices Pricing Program コンポーネントに存在するこの重大な RCE 脆弱性は、完全自律型 AI ペネトレーションテストエージェント「XBOW」 によって発見された。ソースコードへのアクセスなしに CVSS 9.8 の脆弱性を特定した点が業界で話題を呼んでいる。XBOW は過去1年間、HackerOne のバグバウンティリーダーボードで上位を維持してきた実績を持つ。
Immersive 社のベン・マッカーシー氏は「これは、AIエージェントが複雑な脆弱性を高速かつ自律的に発見できる時代の到来を示している。AIを活用した脆弱性研究は今後ますます重要な役割を担うだろう」と指摘する。なお、マイクロソフト側での修正は既に完了しており、Windows ユーザーによる追加対応は不要だ。
Adobe・Firefox も同日アップデート
マイクロソフトと同日、Adobe も Acrobat や Adobe Commerce を含む製品群に対して80件の脆弱性修正を公開した。Mozilla Firefox v148.0.2 も高深刻度の脆弱性3件を解決している。企業のセキュリティ担当者は、Patch Tuesday にあわせてこれらの更新も一括して適用することを推奨する。
次回の Patch Tuesday は 2026年4月14日を予定している。
元記事: Microsoft patches 83 vulnerabilities in March 2026 Patch Tuesday including two zero-days