概要
Microsoftは、2026年3月のPatch Tuesday更新をリリースし、79のセキュリティ脆弱性を修正し、2つの公開されたゼロデイ脆弱性を軽減しました。これらの重要なセキュリティ更新プログラムは、エンタープライズシステムの保護に不可欠な修正を提供します。影響を受ける製品には、Microsoft Windows、Office、SQL Server、および.NETフレームワークが含まれます。
2026年3月の脆弱性概要
2026年3月のPatch Tuesdayは、現代のインフラストラクチャに影響を及ぼす幅広いセキュリティ脆弱性を修正します。79の修正された脆弱性のうち、3つが重大と分類されています。残りの脆弱性は、重要なまたは低度の深刻度と評価されています。
脆弱性は、特権昇格やリモートコード実行のリスクなど、いくつかのカテゴリにまたがっています。特に、特権昇格の脆弱性が46件、リモートコード実行のリスクが18件あります。
攻撃者は、既知の脆弱性を迅速に標的とすることが多いことから、管理者はこれらのパッチをすぐに適用する必要があります。遅延すると、サイバー犯罪グループやランサムウェアの操作者がシステムにアクセスし、データ侵害を引き起こす可能性があります。
公開されたゼロデイ脆弱性
Microsoftは、公式の修正が公開される前に公開された2つのゼロデイ脆弱性を修正しました。いずれの脆弱性も現在、実際の攻撃で使用されているわけではありませんが、公開された事実は脅威アクターがアクティブなエクスプロイトを開発するリスクを高めています。
- SQL Server特権昇格脆弱性(CVE-2026-21262):この脆弱性は、ネットワーク上で管理者権限に昇格する可能性があります。
- .NET ディーセーションサービス脆弱性:この脆弱性は、.NETフレームワークを対象とし、ビジネスの運用を妨げる可能性があります。
修正された脆弱性の詳細
以下は、セキュリティ更新プログラムガイドに基づくMicrosoftの脆弱性のリストです。
| CVE ID | 脆弱性名 | タイプ | 深刻度 |
|---|---|---|---|
| CVE-2024-29059 | .NET Framework情報漏洩脆弱性 | 情報漏洩 | 重要 |
| CVE-2024-29057 | Microsoft Edge (Chromiumベース) スプーフィング脆弱性 | スプーフィング | 低度 |
| CVE-2024-28916 | Xbox Gaming Services特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26247 | Microsoft Edge (Chromiumベース) セキュリティ機能バイパス脆弱性 | セキュリティ機能バイパス | 低度 |
| CVE-2024-26246 | Microsoft Edge (Chromiumベース) セキュリティ機能バイパス脆弱性 | セキュリティ機能バイパス | 低度 |
| CVE-2024-26204 | Outlook for Android情報漏洩脆弱性 | 情報漏洩 | 重要 |
| CVE-2024-26203 | Azure Data Studio特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26201 | Microsoft Intune Linux Agent特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26199 | Microsoft Office特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26198 | Microsoft Exchange Serverリモートコード実行脆弱性 | リモートコード実行 | 重要 |
| CVE-2024-26197 | Windows Standards-Based Storage Management Serviceディーセーションサービス脆弱性 | ディーセーションサービス | 重要 |
| CVE-2024-26196 | Microsoft Edge for Android (Chromiumベース) 情報漏洩脆弱性 | 情報漏洩 | 低度 |
| CVE-2024-26192 | Microsoft Edge (Chromiumベース) 情報漏洩脆弱性 | 情報漏洩 | 重要 |
| CVE-2024-26190 | Microsoft QUICディーセーションサービス脆弱性 | ディーセーションサービス | 重要 |
| CVE-2024-26188 | Microsoft Edge (Chromiumベース) スプーフィング脆弱性 | スプーフィング | 低度 |
| CVE-2024-26185 | Windows Compressed Folder操作脆弱性 | 操作 | 重要 |
| CVE-2024-26182 | Windows Kernel特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26181 | Windows Kernelディーセーションサービス脆弱性 | ディーセーションサービス | 重要 |
| CVE-2024-26178 | Windows Kernel特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26177 | Windows Kernel情報漏洩脆弱性 | 情報漏洩 | 重要 |
| CVE-2024-26176 | Windows Kernel特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26174 | Windows Kernel情報漏洩脆弱性 | 情報漏洩 | 重要 |
| CVE-2024-26173 | Windows Kernel特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26170 | Windows Composite Image File System (CimFS)特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26169 | Windows Error Reporting Service特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26166 | Microsoft WDAC OLE DBプロバイダー for SQL Serverリモートコード実行脆弱性 | リモートコード実行 | 重要 |
| CVE-2024-26165 | Visual Studio Code特権昇格脆弱性 | 特権昇格 | 重要 |
| CVE-2024-26164 | Microsoft Django Backend for SQL Serverリモートコード実行脆弱性 | リモートコード実行 | 重要 |
推奨される緩和策
組織が強固なセキュリティポジションを維持するためには、以下の緩和策を実施することが推奨されます:
- インターネット向けおよびビジネスクリティカルなサーバーを優先して、2026年3月のセキュリティ更新プログラムをすぐに適用します。
- パッチを本番環境に展開する前に、ステージング環境でテストします。
- SQL Serverと.NETアプリケーションを慎重に監視し、異常なネットワークトラフィックや不正なアクセス試行を検出します。
- Microsoft Officeの設定をレビューし、プレビュー画面を表示するだけで悪意のあるファイルが開かれる可能性がある脆弱性を確認します。
元記事: https://gbhackers.com/microsoft-fixes-79-vulnerabilities-in-march-2026-patch-tuesday/