エクスプロイト&脆弱性
2026年3月 セキュリティアップデート解説:Microsoft社は93件、Adobe社は80件の脆弱性に対応
2026年3月の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年3月の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年3月Adobe社からのセキュリティアップデート
3月のAdobeのセキュリティ更新では、Adobe Acrobat Reader、Commerce、Illustrator、Substance 3D Painter、Premiere Pro、Experience Manager、Substance 3D Stager、そして Adobe DNG Software Development Kit(SDK)を対象に、計8件のセキュリティ情報が公開され、合計80件の固有CVEに対応しました。このうち2件の脆弱性は、TrendAI ZDIプログラムを通じて報告されたものです。優先順位を付ける必要がある場合、影響が最も大きいと考えられるのは Acrobat 向けの更新です。この修正では、深刻度「緊急」が2件、「重要」が1件解消されています。
今月最も多くの脆弱性に対応しているのは Experience Manager で、33件のCVEが修正されています。ただし、これらは単純なクロスサイトスクリプティング(XSS)の脆弱性であり、それほど注目度の高い内容ではありません。Commerce 向けの修正も大規模で、19件のCVEに対応しています。その大半はやはりXSSですが、いくつかのセキュリティ機能バイパスの脆弱性も含まれています。なお、AdobeはこのCommerce向け更新に対して展開優先度2を付与していますが、公開時点では実際の攻撃は確認されていません。
Illustrator の修正では7件の脆弱性が解消されており、その中には深刻度「緊急」のものもいくつか含まれています。Substance 3D Painter の更新では9件のCVEが修正されており、いずれも「重要」と評価されています。一方、Substance 3D Stager は状況が異なり、任意コード実行につながる可能性のある深刻度「緊急」の脆弱性6件に対応しています。Adobe DNG Software Development Kit(SDK)の修正では、「緊急」1件と「重要」1件の脆弱性に対処しています。最後に、Premiere Pro向けの更新では、任意コード実行につながる可能性がある深刻度「緊急」の脆弱性1件が修正されています。
なお、Adobeが今月修正した脆弱性のうち、公開時点で公知または実際に悪用が確認されているものはありません。また、Commerce向け更新を除き、今月Adobeが公開したその他の更新はすべて展開優先度3とされています。
2026年3月Microsoft社からのセキュリティアップデート
今月、MicrosoftはWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Microsoft Edge(Chromiumベース)、Azure、SQL Server、Hyper-V Server、Windows Resilient File System(ReFS)に関する84件の新たなCVEを公開しました。さらに、リリースに含まれるサードパーティおよびChromium関連の更新を含めると、CVEの総数は93件になります。このうち5件の脆弱性は、TrendAI ZDIプログラムを通じて報告されたものです。深刻度の内訳は、「緊急」が8件、「重要」がそれ以外となっています。
この件数は3月の更新としては比較的典型的な規模であり、先月とは異なり、公開時点で実際の攻撃に悪用されている脆弱性がない点は好ましい状況といえます。公開時点で「公知」とされている脆弱性は2件ありますが、実際に悪用されているものは確認されていません。
それでは、今月の更新の中でも特に注目すべきものをいくつか見ていきましょう。まずは、AIに関連する側面を持つ脆弱性から紹介します。
CVE-2026-26144 - Microsoft Excel 情報漏洩の脆弱性
これは非常に興味深い脆弱性であり、今後ますます見られる可能性の高い攻撃シナリオを示しています。この脆弱性自体は、Excelに存在する比較的単純なクロスサイトスクリプティング(XSS)のバグですが、攻撃者はこれを利用して Copilot Agent にターゲットからデータを外部へ送信させる可能性があります。結果として、実質的にはゼロクリックでの情報漏洩につながります。明記はされていませんが、漏洩する情報はログオンしているユーザ権限の範囲と考えられるため、特権昇格の要素は含まれていないとみられます。情報漏洩の脆弱性が「緊急」と評価されることはまれですが、このケースではその評価も妥当といえるでしょう。
CVE-2026-26110/CVE-2026-26113 - Microsoft Office リモートコード実行の脆弱性
今月もまた、プレビューウィンドウが攻撃ベクトルとなる Office の脆弱性が2件報告されています。過去1年間でこの種の脆弱性がどれほど修正されてきたのか数えきれないほどですが、いずれ実際の攻撃に悪用されるケースが現れるのも時間の問題でしょう。最新の Outlook ではプレビューウィンドウを非表示にすることができますが、それがこれらの攻撃を軽減できるかどうかは明確ではありません。最も確実な対策は、やはり更新プログラムを検証したうえで速やかに適用することです。ただし、この種の修正が多数存在することを考えると、問題を完全に解決するには今後も追加の更新が必要になる可能性があります。
CVE-2026-23669 - Windows Print Spooler リモートコード実行の脆弱性
このタイトルを見ただけで、数年前の PrintNightmare を思い出してしまいます。この脆弱性は当時のエクスプロイトと同様の仕組みで悪用されます。認証済みの攻撃者が、細工されたメッセージを影響を受けるシステムに送信することで、任意のコードを実行できる可能性があります。ユーザの操作は必要ありません。新たなスプーラー関連の悪夢が再来しないことを願うばかりです。この更新は迅速にテストし、適用することが推奨されます。
CVE-2026-23668 - Windows Graphics Component 特権昇格の脆弱性
この脆弱性は、Marcin Wiązowski によって ZDI プログラムへ2件の別々のバグとして報告されたものであり、セキュリティパッチ作成時にバリアント調査が重要であることを示しています。いずれのケースも、オブジェクトに対する操作時に適切なロック処理が行われていないことが原因です。ただし、一方は cdd.dll ドライバー、もう一方は win32kfull ドライバーに存在していました。いずれの場合も、攻撃者はこれを利用して権限を SYSTEM レベルまで昇格させ、任意のコードを実行できる可能性があります。両方の修正は GDI オブジェクトにロック処理を追加するものであるため、最終的には単一のCVEとして統合されています。これは問題ではありませんが、同種のバリアントがどのように発生するか、そして修正はできるだけ広範囲に対応する形で行う必要があることを示す例といえるでしょう。
その他の脆弱性
今月のリリースで「緊急」と評価されているその他の脆弱性を見ると、いずれもクラウドネイティブ環境に関するもので、ユーザの操作を必要としません。これらの脆弱性については、Microsoftがすでに対処を完了しています。
リモートコード実行関連
次に、その他のリモートコード実行の脆弱性を見ていきます。まず目立つのは SharePoint Server に関する脆弱性です。いずれも認証が必要ですが、実質的には最低レベルの認証であるため、企業ネットワーク内でのラテラルムーブメントに利用される可能性があります。Office コンポーネントには、従来から見られる「ファイルを開くことで侵害される」タイプの脆弱性も含まれています。また、Windows Mobile Broadband Driver にも興味深い脆弱性がありますが、これは物理的アクセスが必要とされており、それ以上の攻撃シナリオについてはMicrosoftから詳しい説明がありません。System Image Manager Assessment and Deployment Kit(ADK)の脆弱性は認証が必要であり、GDI の脆弱性はユーザ操作を必要とします。残りのコード実行の脆弱性は RRAS プロトコルに存在します。このコンポーネントでは過去にも脆弱性が確認されていますが、実際の攻撃で悪用された例はありません。無視すべきではありませんが、緊急対応が必要なものでもないでしょう。
特権昇格関連
先月と同様に、特権昇格(EoP: Elevation of Privilege)の脆弱性が今月のリリースのほぼ半数を占めています。これらの多くは、ローカル攻撃者が SYSTEM 権限または管理者権限でコードを実行できるようになるものです。SQL Server の脆弱性では、攻撃者が SQL の sysadmin 権限まで昇格する可能性があります。Azure MCP Server の脆弱性はより複雑で、攻撃者が MCP Server のマネージド IDに関連付けられた権限を取得できる可能性があります。これにより、そのマネージド ID がアクセス可能な操作を実行できてしまいます。Linux 向け Azure AD SSH Login 拡張機能の脆弱性では root 権限を取得される可能性がありますが、この修正は簡単ではありません。影響を受ける各システムでコマンドラインから更新手順を実行する必要があります。Linux Azure Diagnostic Extension(LAD)の脆弱性も同様の対応が必要です。また、Hybrid Worker Extension(Arc 対応 Windows VM)には「ELEVATED」権限につながるという珍しいタイプの脆弱性がありますが、このような表現はこれまであまり見たことがありません。Broadcast DVRコンポーネントの脆弱性では、攻撃者が低整合性レベルから中整合性レベルへ権限を昇格させることができます。Push Message Routing Service の脆弱性は EoP として分類されていますが、説明を読むと情報漏洩につながる可能性があるとされており、実際には情報漏洩の脆弱性として分類されるべきものかもしれません。最後の EoP は Azure Portal の Windows Admin Center に存在し、SYSTEM権限の取得につながります。ただし、この脆弱性にはパッチが提供されておらず、Azure Portal から Windows Admin Center 拡張機能の最新バージョンを手動でインストールする必要があります。
セキュリティ機能バイパス関連
3月のリリースには、セキュリティ機能バイパスの脆弱性が2件含まれています。1つ目は MapURLToZone メソッドのバイパスで、名前の通り MapURLToZone の保護機能を回避できる可能性があります。もう1つは Kerberos に関するもので、攻撃者が機密情報を閲覧したり、「公開された」情報を書き換えたりする可能性があります。この問題はグループポリシーが再適用される際に発生するレースコンディションによるものであり、悪用できる時間は非常に短いと考えられます。
情報漏洩関連
今月修正されたその他の情報漏洩の脆弱性を見ると、未指定のメモリ内容やメモリアドレスの漏洩につながるものは2件のみです。それ以外はより興味深い影響を持つものです。Azure IoT Explorer には3件の脆弱性があり、広範囲に影響する可能性があります。Microsoftによると、これらが悪用された場合、「デバイス接続情報、認証トークン、リクエストデータ、ファイルパス、その他アプリケーションと IoT Hub 間でやり取りされる情報」が漏洩する可能性があります。Authenticator の脆弱性は、むしろセキュリティ機能バイパスのようにも見えます。悪用された場合、ワンタイムサインインコードや認証用ディープリンクが漏洩します。攻撃者がこれらの情報を取得すると、ユーザとして認証できてしまう可能性があり、そのアカウントで利用可能な情報やサービスにアクセスされる恐れがあります。最後の情報漏洩の脆弱性は Accessibility Infrastructure に存在し、影響を受けるアプリケーションのユーザに関連する秘密情報や特権情報が取得される可能性があります。
なりすまし関連
3月のリリースには、なりすまし(Spoofing)の脆弱性は4件のみです。1つ目は SharePoint Server に存在する XSS です。2つ目は Azure IoT Explorer における Server-Side Request Forgery(SSRF)です。残りの2件はやや分かりにくい内容です。Windows Shell Link Processing の脆弱性は、「機密情報が不正な主体に公開される」ことによって発生し、なりすましにつながる可能性があります。これは資格情報の漏洩のようにも見えますが、明確には説明されていません。最後のなりすましの脆弱性は Windows App Installer に存在し、データの真正性検証が不十分であることに起因します。これも資格情報のリフレクション攻撃のようにも見えますが、詳細情報がないため推測の域を出ません。
サービス拒否(DoS攻撃)関連
次回のセキュリティアップデート
次回のパッチチューズデーは2026年4月14日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2026年3月発表の全リスト
2026年3月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事
The March 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)