2026年3月「パッチチューズデー」：Microsoftが77件の脆弱性を修正、AI発見の重大バグも

Microsoft、77件の脆弱性を修正 — 3月の「パッチチューズデー」

Microsoftは2026年3月11日、Windows OSや関連ソフトウェアに存在する少なくとも77件の脆弱性を修正するセキュリティアップデートをリリースした。先月のゼロデイ5件と比較して、緊急性の高いゼロデイは確認されていないものの、企業は引き続き迅速な対応が求められる。

公開済みの2件の脆弱性

今回のアップデートでは、既に公開されていた2件の脆弱性が修正された。このうちCVE-2026-21262は、SQL Server 2016以降のバージョンに存在する特権昇格の脆弱性だ。Rapid7のセキュリティ研究者Adam Barnett氏によると、ネットワーク経由で認証された攻撃者がsysadmin権限を獲得できる可能性があるという。CVSS v3スコアは8.8で、深刻度は「高」に分類される。

もう1件のCVE-2026-26127は、.NETアプリケーションに存在するDoS（サービス拒否）を引き起こす脆弱性。攻撃者がサービスの再起動中に他の攻撃手法を悪用する可能性も指摘されている。

Officeの重大なリモートコード実行の脆弱性

Microsoft Officeにも重大な脆弱性が含まれていた。CVE-2026-26113とCVE-2026-26110は、プレビューペインで悪意のあるメッセージを表示するだけでリモートコード実行が可能となる。TenableのSatnam Narang氏は、今月の脆弱性のうち55%が特権昇格に関連しており、そのうち6件は「攻撃の可能性が高い」と評価されていると指摘する。

特権昇格に関連する主な脆弱性

• CVE-2026-24291：Windowsアクセシビリティインフラストラクチャの不適切な権限設定により、SYSTEM権限への昇格が可能（CVSS 7.8）
• CVE-2026-24294：SMBコンポーネントの認証不備（CVSS 7.8）
• CVE-2026-24289：メモリ破壊と競合状態の高重大度脆弱性（CVSS 7.8）
• CVE-2026-25187：Google Project Zeroにより発見されたWinlogonの脆弱性（CVSS 7.8）

AIエージェントが発見した重大バグ

注目すべきは、CVE-2026-21536と呼ばれるMicrosoft Devices Pricing Programのリモートコード実行の脆弱性だ。この脆弱性はAIエージェントによって発見され、CVEが付与された初めてのケースとなった。発見したのは、Hacker Oneのバグバウンティランキングで常に上位にランクインするXBOWという完全自律型のAIペネトレーションテストエージェントだ。

ImmersiveのリードサイバーセキュリティエンジニアBen McCarthy氏は、この発見がAIによる脆弱性調査の新たな段階を示すと指摘する。同氏は「Microsoftは既にパッチを適用し脆弱性を緩和したが、AIがソースコードにアクセスせずに重大なCVSS 9.8の脆弱性を発見したことは、セキュリティ分野におけるAI活用の拡大を示唆している」と述べた。

「AIエージェントによる脆弱性発見は、今後ますます重要な役割を果たすだろう。特に、複雑な脆弱性の特定において、人間の専門家とAIの組み合わせがセキュリティ対策の未来を形作る」
— Ben McCarthy, Immersiveリードサイバーセキュリティエンジニア

企業に求められる対応

Microsoftは、今回のアップデートが企業のセキュリティ強化に不可欠であると強調している。特に、特権昇格やリモートコード実行の脆弱性は、攻撃者にとって魅力的なターゲットとなるため、迅速な適用が推奨される。また、AIによる脆弱性発見の増加は、セキュリティチームがAIツールを活用した監視体制の強化を検討するきっかけとなるだろう。