Microsoft 3月Patch Tuesdayで78件修正——SQL Serverゼロデイ含む8件のCritical
**2026年3月10日、Microsoftは月例セキュリティ更新プログラム「Patch Tuesday」で78件の脆弱性を修正した。**そのうち8件がCritical(緊急)に分類され、2件のゼロデイ脆弱性が含まれている。特に注目すべきは、SQL Serverの権限昇格ゼロデイ(CVE-2026-21262)と、CVSS 9.8という最高レベルに近いスコアを持つリモートコード実行(RCE)脆弱性(CVE-2026-21536)だ。企業のIT管理者にとって、今月のパッチ適用は最優先で取り組むべき案件となっている。
Patch Tuesdayとは何か
Patch Tuesdayとは、Microsoftが毎月第2火曜日に実施するセキュリティ更新プログラムの定期リリースのことだ。2003年に開始されたこの制度は、Windows、Office、Azure、SQL Serverなど、Microsoft製品全体のセキュリティ脆弱性を一括で修正する。
企業のIT部門にとってPatch Tuesdayは「月例メンテナンスの起点」であり、パッチの検証・テスト・展開のサイクルを毎月回す必要がある。特にCriticalやゼロデイを含む月は、通常よりも迅速な対応が求められる。
今月の全体像——78件の脆弱性を深刻度別に分析
2026年3月のPatch Tuesdayでは、合計78件の脆弱性が修正された。深刻度別の内訳は以下のとおりだ。
この図は、78件の脆弱性を深刻度(Critical / Important / Moderate / Low)ごとに分類し、ゼロデイと最高CVSSスコアの脆弱性をハイライトしています。
| 深刻度 | 件数 | 割合 | 主な対象 |
|---|---|---|---|
| Critical(緊急) | 8件 | 10.3% | RCE、権限昇格 |
| Important(重要) | 58件 | 74.4% | 情報漏洩、サービス拒否 |
| Moderate(警告) | 10件 | 12.8% | クロスサイトスクリプティング等 |
| Low(注意) | 2件 | 2.6% | 軽微な情報漏洩 |
製品カテゴリ別では、Windowsが48件と全体の6割以上を占め、次いでAzureが13件、SQL Serverが5件、Officeが4件と続く。Windowsパッチの多さは例年通りだが、Azureの13件は前月比で約2倍に増加しており、クラウドサービスへの攻撃面の拡大を示唆している。
ゼロデイ脆弱性の詳細——CVE-2026-21262が最も危険
CVE-2026-21262: SQL Server 権限昇格のゼロデイ
今月最も警戒すべき脆弱性がこのSQL Serverの権限昇格ゼロデイだ。ログイン済みの一般ユーザーがこの脆弱性を悪用すると、sysadmin権限(SQL Serverの最高権限)を取得できてしまう。
なぜ深刻なのか:
- すでに悪用が確認されている(ゼロデイ)——パッチ公開前から攻撃者に利用されていた
- ログイン済みユーザーであれば悪用可能——外部からの高度な攻撃手法は不要
- sysadmin権限の取得——データベースの全データの読み取り・改ざん・削除が可能になる
- 横展開のリスク——SQL Serverはしばしば企業の基幹システムに接続しており、ここを起点にネットワーク全体への侵入が広がる可能性がある
SQL Serverは日本企業でも広く利用されており、特にオンプレミス環境で基幹業務システムのバックエンドとして動作しているケースが多い。データベース管理者は即座にパッチ適用の検証を開始すべきだ。
もう1件のゼロデイ
2件目のゼロデイは、Windowsのカーネルコンポーネントに関する権限昇格の脆弱性で、ローカルアクセスが必要だがエクスプロイトコードが公開されている状態だ。標的型攻撃で使われる可能性が高く、エンドポイント保護の強化が推奨される。
CVE-2026-21536: CVSS 9.8のリモートコード実行
8件のCriticalの中でも、CVE-2026-21536はCVSSスコア9.8という極めて高い深刻度を持つ。Microsoft Devices Pricing Programに存在するリモートコード実行(RCE)の脆弱性で、攻撃者が認証なしにリモートから任意のコードを実行できる。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-21536 |
| CVSSスコア | 9.8(Critical) |
| 対象製品 | Microsoft Devices Pricing Program |
| 攻撃種別 | リモートコード実行(RCE) |
| 認証要否 | 不要(未認証で攻撃可能) |
| 攻撃の複雑さ | 低 |
| 悪用状況 | パッチ公開時点では未確認 |
CVSSスコアが9.0を超える脆弱性は、攻撃の自動化や大規模なボットネットによる悪用につながりやすい。「認証不要」「攻撃の複雑さが低い」という条件が揃っているため、パッチ適用の優先度は最高だ。
Critical 8件の一覧と対応優先度
今月のCritical脆弱性8件を対応優先度順にまとめた。
| 優先度 | CVE | 対象製品 | 種別 | CVSS | ゼロデイ |
|---|---|---|---|---|---|
| 1 | CVE-2026-21262 | SQL Server | 権限昇格 | — | あり |
| 2 | CVE-2026-21536 | Devices Pricing Program | RCE | 9.8 | なし |
| 3 | — | Windows Hyper-V | RCE | 9.1 | なし |
| 4 | — | Azure Kubernetes Service | 権限昇格 | 8.8 | なし |
| 5 | — | Windows TCP/IP | RCE | 8.6 | なし |
| 6 | — | Office(Word) | RCE | 8.4 | なし |
| 7 | — | Windows LDAP | RCE | 8.1 | なし |
| 8 | — | SharePoint Server | RCE | 8.0 | なし |
ゼロデイであるCVE-2026-21262を最優先とし、次にCVSS 9.8のCVE-2026-21536の対応を行うのが合理的だ。Hyper-VやAKSの脆弱性も仮想化・コンテナ環境を利用している組織にとっては見過ごせない。
2026年のPatch Tuesday推移
この図は、2026年1月から3月までのPatch Tuesday修正件数の推移を示しています。
1月は105件と大規模な更新だったが、これは年末年始に蓄積された脆弱性がまとめて修正される例年のパターンだ。2月の63件から3月は78件に増加しており、ゼロデイ2件を含む点で質的にも注意が必要な月となっている。
2025年を振り返ると、年間の修正件数は約1,000件を超えており、月平均で80〜90件のペースだった。2026年も同様のペースが続くと見られる。
競合OSとの比較——脆弱性対応の現状
セキュリティパッチの対応状況を他のOSと比較すると、以下のような特徴がある。
| 項目 | Microsoft | Apple | Linux (Ubuntu) |
|---|---|---|---|
| 定期更新サイクル | 毎月第2火曜 | 不定期 | 随時(LTSは定期) |
| 2026年1-3月の修正数 | 246件 | 約80件 | 約150件 |
| ゼロデイ対応速度 | パッチ日に一括 | 緊急時は随時 | コミュニティ依存 |
| 企業向けサポート | WSUS/Intune | MDM | Canonical Pro |
| パッチ適用の自動化 | Windows Update | ソフトウェアアップデート | unattended-upgrades |
Microsoftの強みは予測可能なスケジュールとエンタープライズ向けの管理ツール(WSUS、Microsoft Intune、SCCM)が充実している点だ。一方で修正件数が多いということは、それだけ攻撃面が広いことの裏返しでもある。
パッチ適用のベストプラクティス
即座に対応すべきこと(24時間以内)
- SQL Serverのパッチ適用——CVE-2026-21262はゼロデイのため最優先
- CVSS 9.8のパッチ確認——CVE-2026-21536の影響範囲を確認し、該当する場合は即時適用
- エンドポイント保護の更新——ゼロデイのエクスプロイトコードに対応するシグネチャの更新
1週間以内に対応すべきこと
- 残りのCriticalパッチの適用——Hyper-V、AKS、TCP/IP、Office、LDAP、SharePoint
- Importantパッチのテスト開始——特にWindowsクライアント向けの48件
- Azureサービスの確認——13件のAzureパッチの影響範囲を確認
継続的に実施すべきこと
- パッチ適用状況の監視——WSUSやIntuneで適用率を追跡
- 脆弱性スキャンの実施——パッチ適用後に残存リスクがないか確認
- 1Passwordなどのパスワードマネージャーの活用——SQL Serverゼロデイのようにログイン認証が攻撃の起点となるケースでは、強固なパスワード管理が被害軽減の鍵となる
日本企業への影響と対応
日本特有のリスク
日本企業にとって特に注意すべきポイントがいくつかある。
SQL Serverの利用率の高さ: 日本の中堅・大企業では、基幹業務システム(ERP、人事、会計)のバックエンドとしてSQL Serverを利用しているケースが非常に多い。CVE-2026-21262のゼロデイは、こうした環境を直撃する可能性がある。オンプレミスのSQL Serverは特に注意が必要で、Azure SQL Databaseを利用している場合はMicrosoft側で自動的にパッチが適用される。
年度末のタイミング: 3月は日本企業の年度末にあたり、システム変更のフリーズ期間に入っている組織も多い。しかしゼロデイ脆弱性に対しては、フリーズ期間中であっても例外的にパッチ適用を優先すべきだ。JPCERT/CCやIPAからも注意喚起が出されることが予想されるため、最新の情報を確認してほしい。
Azure利用の拡大: 日本でもAzureの利用が急速に拡大しており、今月のAzure関連13件のパッチは見過ごせない。特にAKS(Azure Kubernetes Service)を本番環境で利用している場合は、権限昇格の脆弱性について速やかに対応が必要だ。
IPAやJPCERT/CCの動向
日本のセキュリティ関連機関は、Microsoftの月例パッチに合わせて注意喚起を発行するのが通例だ。特にゼロデイを含む月は、IPAの「重要なセキュリティ情報」やJPCERT/CCの「注意喚起」として即日公開されることが多い。これらの情報も合わせて確認し、組織内での周知に活用すべきだ。
まとめ——今すぐ取るべき3つのアクション
2026年3月のPatch Tuesdayは、ゼロデイ2件・Critical 8件を含む78件の修正という、年度末にしては大きな更新となった。以下のアクションステップを参考に、迅速な対応を進めてほしい。
- SQL Serverのパッチを即時適用する: CVE-2026-21262はすでに悪用が確認されているゼロデイ。SQL Serverを利用している環境では、検証を待たずに適用を検討すべき最優先パッチだ
- CVSS 9.8のRCE(CVE-2026-21536)の影響確認: Devices Pricing Programを利用している場合は認証不要で攻撃可能なため即座にパッチを適用する。利用していない場合でも、残り6件のCriticalパッチは1週間以内に適用を完了させたい
- 認証情報の保護を強化する: 今月のゼロデイはログイン済みユーザーからの権限昇格が起点。1Passwordのようなパスワードマネージャーで認証情報を一元管理し、多要素認証(MFA)を全アカウントに適用することで、仮に脆弱性が悪用されても被害範囲を最小限に抑えられる
セキュリティパッチの適用は「やらなければならない作業」ではなく、「組織を守る最も費用対効果の高い投資」だ。年度末の繁忙期であっても、ゼロデイ対応だけは先送りにしないでほしい。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星