マイクロソフトは米国時間2026年3月10日、同社製品の脆弱性を修正する月例セキュリティ更新プログラムを公開しました。自動更新は既定で有効とされていますが、環境やポリシーにより未適用となる場合があるため、できるだけ早期の適用が推奨されています。今月は「悪意のあるソフトウェアの削除ツール」に新規対応ファミリの追加はありません。公開済みの脆弱性情報が先行して一般公開されていたケースがあり、注意喚起が示されています。対象製品やKB番号、既知の問題は月例のリリースノートと各サポート技術情報で案内されています。次回の月例更新は2026年4月14日が予定日です。
公開前に情報が一般公開された脆弱性への対応
今月修正された脆弱性のうち、更新プログラム公開前に詳細が一般公開されていた事例が告知されています。対象はCVE-2026-26127の.NETにおけるサービス拒否の脆弱性と、CVE-2026-21262のSQL Serverにおける特権の昇格の脆弱性です。これらは先行公開により攻撃リスクが相対的に高まる可能性があるため、速やかな更新適用が推奨されています。各脆弱性ページには、緩和策や回避策、注意事項、よくある質問などの追加情報が掲載される場合があります。適用前に関連情報を確認することで、運用影響の最小化につながります。なお、今月は既存の脆弱性情報やセキュリティアドバイザリの更新、新規アドバイザリの公開はありません。
公開された更新はWindows、サーバー製品、Office、SharePoint、.NET、SQL Server、Azure、System Center Operations Managerなど幅広い製品に及びます。Windows 11 v26H1、v25H2、v24H2、v23H2向け更新は最大深刻度が重要で、最も大きな影響はリモートでコードの実行が可能となる点です。Windows Server 2025、2022、23H2、2019、2016についても最大深刻度は重要で、同様にリモートでコードの実行が可能となる影響が示されています。Microsoft OfficeとMicrosoft SharePointは最大深刻度が緊急で、いずれもリモートでコードの実行が最も大きな影響です。.NET、SQL Server、Azure、System Center Operations Managerは最大深刻度が重要で、最も大きな影響は特権の昇格とされています。Windows各バージョンやサーバー製品には、通常の累積更新に加えてHotPatchのKBも案内されています。
Windows 11では、v26H1がKB5079466、v25H2とv24H2がKB5079473、同バージョンのHotpatchがKB5079420、v23H2がKB5078883として提供されます。Windows Serverでは、2025がKB5078740とHotPatch KB5078736、2022はKB5078766とHotPatch KB5078737、23H2はKB5078734が示されています。Windows Server 2019はKB5078752、2016はKB5078938が対象です。OfficeやSharePoint、.NET、SQL Server、Azure、System Center Operations Managerの更新情報は、それぞれのサポートページで提供されます。既知の問題は各更新プログラムのサポート技術情報を参照する案内があり、月例リリースノートに一覧が掲載されています。適用前に該当する既知の問題を確認し、必要に応じて展開順序や再起動計画を調整することが実用的です。
展開にあたっての補足情報と運用ポイント
最新のサービススタック更新プログラムの確認先として、アドバイザリADV990001が案内されています。Microsoft Edgeのセキュリティ情報は公開スケジュールが月例リリースと異なるため、製品選択でMicrosoft Edge Chromium版の情報を個別に確認する必要があります。CVEページには緩和策や回避策が追加される場合があるため、適用前に内容を把握して影響評価に役立てることが勧められています。セキュリティ更新プログラムガイドではCVEやKB、製品、リリース日での並べ替えやフィルターが可能で、第2火曜日を指定すると当月の更新に絞り込めます。APIを活用したカスタムレポート作成のための解説ビデオが6本公開されており、取得対象としてAPI情報、APIアクセス、HTML出力、Excelエクスポート、CVEリスト、KBリストが例示されています。通知の受け取り方法はプロファイル作成とRSSの2通りが案内され、タイムリーな情報入手に役立ちます。
スケジュールと自動更新の前提
今月の更新は自動更新が既定で有効な製品が多い一方で、オフライン環境や適用保留の設定がある場合は未適用のまま残ることがあります。速やかな適用確認と、必要に応じた手動展開の計画が重要です。次回の月例セキュリティ更新プログラムの公開予定は2026年4月14日です。年間スケジュールに沿って、検証用と本番用の適用タイミングを調整し、重大度が高い更新から優先して展開するとリスク低減につながります。併せて、今月は「悪意のあるソフトウェアの削除ツール」に新規対応ファミリの追加がないことが明記されています。運用中の環境差分を踏まえ、既知の問題や再起動要件を確認しながら計画的に適用を進めることが求められます。
詳しくは「日本マイクロソフト株式会社」の公式ページまで。レポート/DXマガジン編集部
