マイクロソフト、2026年3月の月例パッチで脆弱性79件を修正(CVE-2026-26144他) | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > マイクロソフト、2026年3月の月例パッチで脆弱性79件を修正(CVE-2026-26144他)

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

脆弱性

マイクロソフト、2026年3月の月例パッチで脆弱性79件を修正(CVE-2026-26144他)

佐々山 Tacos

佐々山 Tacos

2026.03.11

マイクロソフト、2026年3月の月例パッチで脆弱性79件を修正 Copilot Agentの武器化に悪用可能なゼロクリック脆弱性も(CVE-2026-26144他)

BleepingComputer – March 10, 2026

マイクロソフトは2026年3月の月例セキュリティ更新プログラムにおいて、脆弱性79件を修正。これには、深刻度が「Critical(緊急)」と評価されている脆弱性が3件含まれている。

 

Critical(緊急)評価となったのは、以下の3件:

  • CVE-2026-26110(CVSS3.1スコア 8.4):Microsoft Officeにおけるリモートコード実行の脆弱性。型の取り違えに起因する問題により、認可されていない攻撃者がローカルでコードを実行できる恐れがあるとされる。アドバイザリによれば、プレビューウィンドウが攻撃ベクターになるとのこと。

 

  • CVE-2026-26113(CVSS3.1スコア 8.4):Microsoft Officeにおけるリモートコード実行の脆弱性。信頼できないポインタデリファレンスの問題に起因する問題により、認可されていない攻撃者がローカルでコードを実行できる恐れがあるとされる。アドバイザリによれば、プレビューウィンドウが攻撃ベクターになるとのこと。

 

  • CVE-2026-26144(CVSS3.1スコア 7.5):Microsoft Excelにおける情報漏洩の脆弱性。クロスサイトスクリプティングに起因する問題により、認可されていない攻撃者がネットワーク経由で情報を開示できる恐れがあるとされる。アドバイザリによれば、プレビューウィンドウは攻撃ベクターにならないとのこと。

 

上記のうち、特に注目されるのがCVE-2026-26144。この脆弱性は、「Copilotエージェントモードに、ネットワークから外部への意図せぬ通信によってデータを抽出させる」ために悪用可能であるとされ、これにより「ゼロクリックでの情報漏洩攻撃が可能になる」と説明されている。これはつまり、攻撃者がExcelシートを武器化し、これを使って同AIアシスタントを操ってデータを盗ませることができることを意味する。悪用にはネットワークアクセスが求められるものの、ユーザーによる操作や権限昇格は必要ない。

 

また3月の月例パッチでは、現時点で攻撃での悪用は確認されていないものの、すでに一般開示済みのゼロデイ脆弱性CVE-2026-21262およびCVE-2026-26127が含まれる。

 

  • CVE-2026-21262(CVSS3.1スコア 8.8):SQL Serverにおける権限昇格の脆弱性。不適切なアクセス制御に起因する問題により、認可された攻撃者がネットワーク経由で権限を昇格できるようになる恐れがあるとされる。悪用を成功させた攻撃者は、SQL sysadmin権限を取得できるようになる。深刻度は「Important(重要)」の評価。

 

  • CVE-2026-26127(CVSS3.1スコア 7.5):.NETにおけるサービス拒否の脆弱性。境界外読み取りに起因する問題により、認可されていない攻撃者がネットワーク経由でサービス拒否を引き起こせる恐れがあるとされる。深刻度は「Important(重要)」の評価。

 

Fortinet、深刻度の高い脆弱性数件について注意喚起(CVE-2026-22627、CVE-2026-24017他)

PSIRT – Mar 10, 2026

Fortinetは3月10日、複数製品にわたる脆弱性のアドバイザリを公開。これには、深刻度が「High」と評価される以下の脆弱性に関するものも含まれている。

 

  • CVE-2026-22627(CVSSv3スコア 7.7):FortiSwitchAXFixedにおける古典的バッファオーバーフローの脆弱性。同一の隣接ネットワーク内にいる認証されていない攻撃者がこれを悪用した場合、細工されたLLDPパケットの送付を通じてデバイス上で不正なコードやコマンドを実行される恐れがある。

 

  • CVE-2026-24018(CVSSv3スコア 7.4):FortiClientLinuxにおけるUNIX Symbolic Linkのフォローの脆弱性。ローカルの特権を持たないユーザーによる、rootへの権限昇格が可能になる恐れがある。

 

  • CVE-2026-24017(CVSSv3スコア 7.3):FortiWebにおけるインタラクション頻度の不適切な制御の脆弱性。リモートの認証されていない攻撃者がこれを悪用した場合、細工されたリクエストを通じて認証レート制限をバイパスされる恐れがある。攻撃が成功するかどうかは、攻撃者のリソースおよびターゲットとなるパスワードの複雑度に左右される。

 

  • CVE-2025-54820(CVSSv3スコア 7.0):FortiManagerのfgtupdatesサービスにおけるスタックベースのバッファオーバーフローの脆弱性。リモートの認証されていない攻撃者に悪用された場合、当該サービスが有効になっていると、細工されたリクエストを通じて不正なコマンドを実行される恐れがある。攻撃が成功するかどうかは、スタック保護メカニズムをバイパスできるかどうかに左右される。アドバイザリによれば、fgtupdatesサービスの無効化がワークアラウンドとなり、またFortiManager Cloudは影響を受けないとのこと。

 

このほかにも、FortiAnalyzerやFortiAnalyzer Cloud、FortiSandbox、FortiSandbox Cloudなど複数製品の脆弱性に関するアドバイザリがリリースされており、同社のPSIRTアドバイザリページから確認できる。

【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】

Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらから:

その他の無料配布中レポート

地政学レポート

【最新版】インテリジェンス要件定義に関するガイドブック

OSINT関連レポート

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ