83件の脆弱性を一挙修正——ゼロデイ2件とCritical8件に要注意
Microsoftは2026年3月のPatch Tuesdayセキュリティアップデートをリリースし、Windows、Office、SQL Server、Azure、開発者向けプラットフォームにまたがる合計83件の脆弱性を修正した。うち8件はCritical(緊急)に分類され、さらにパッチ公開前に情報が外部に流出していたゼロデイ脆弱性が2件含まれている。
リリース時点でMicrosoftは実際の悪用事例を確認していないと発表しているが、公開済みのゼロデイ情報は攻撃者にとって格好の標的となる。企業・個人を問わず、今回の更新プログラムは最優先で適用すべきだ。
ゼロデイ脆弱性①:NTFSドライバのカーネルメモリ読み取り問題
1つ目のゼロデイは、Windowsファイルシステム(NTFS)ドライバに存在する。ファイルシステムオブジェクトの不適切な処理により、攻撃者がカーネルメモリの一部を読み取れる可能性がある。
この脆弱性単体で直接リモートコード実行(RCE)ができるわけではないが、ASLR(アドレス空間配置のランダム化)などのセキュリティ機構を迂回する足掛かりに使われるケースが多い。実際の攻撃では他の脆弱性と組み合わせて権限昇格(Privilege Escalation)に活用されるパターンが典型的だ。悪意ある細工が施されたファイルをユーザーに開かせることで悪用が可能となる。
ゼロデイ脆弱性②:Mark-of-the-Web(MOTW)保護機能の回避
2つ目は、インターネットからダウンロードされたファイルに「Web由来」のタグを付与するセキュリティ機能**Mark-of-the-Web(MOTW)**を回避できる脆弱性だ。
通常、インターネットからダウンロードしたファイルを開く際にWindowsは警告ダイアログを表示するが、この脆弱性を悪用すると警告をスキップして悪意あるドキュメント・スクリプト・実行ファイルを開かせることが可能になる。フィッシングメールや悪意ある添付ファイルを利用したソーシャルエンジニアリング攻撃の成功率を大きく高めるため、実害リスクは高い。
そのほかの主要修正内容
今回のリリースではその他にも多数の修正が行われている。
- Microsoft Office — 細工されたドキュメントを開くだけでリモートコード実行が可能になるRCE脆弱性
- SQL Server — 限定的なアクセス権を持つ攻撃者がデータベースサーバーの管理者権限を取得できる権限昇格の脆弱性
- .NETアプリケーション、Windowsネットワークコンポーネント、クラウド・エンタープライズサービス にも複数の修正が含まれる
「Important(重要)」止まりの分類でも、初期侵入後の権限昇格に使われる脆弱性は攻撃者にとって非常に価値が高く、軽視は禁物だ。
推奨アクション
MicrosoftはWindows(デスクトップ・サーバー)、Microsoft Office、SQL Server、エンタープライズ向け.NETアプリケーションを実行しているすべてのシステムに対し、早急な更新プログラムの適用を推奨している。セキュリティチームはエンドポイントおよびログを監視し、今回の脆弱性に関連した不審なアクティビティがないか確認してほしい。
なお、次回の4月Patch Tuesdayは4月14日に予定されている。