Microsoft の2026年3月のPatch Tuesdayには、83のMicrosoft CVEと10の再発行された非Microsoft CVEが含まれています。
今月の脆弱性には「Exploitation Detected」とされたものはないものの、依然として注意が必要なリリースです。Microsoft はいくつかの脆弱性を Exploitation More Likely として指摘し、全体的なパッチセットには重要な企業システムに影響を及ぼす高い深刻度の問題が複数含まれています。
今月の最大のポイントは、Windowsのコアサービス、SQL Server、SharePoint、RRAS、Active Directory Domain Services、Azureのワークロードにわたる広範な露出との組み合わせに加え、すぐに魅力的なターゲットとなり得るいくつかの脆弱性です。
ITおよびセキュリティチームにとって、3月はビジネスへの露出、攻撃面、運用リスクに基づいてパッチを優先する月であり、確認された攻撃を待つのではなく行動を起こすべきです。
2026年3月のMicrosoftパッチの詳細
Microsoftの2026年3月のパッチ火曜日は、多くの企業システムに渡り、多くのパッチと同様にパッチの優先順位付けが重要となる月になっています。
今月のリリースの影響は以下の通りです:
Windowsコアインフラストラクチャ(Print Spooler、SMB Server、Kerberos、ReFS、NTFS、Winlogon、WinSock、およびRRASなど)
Identity and directory services には Active Directory Domain Services と Azure Entra ID が含まれます
Excel、SharePoint、コアOfficeコンポーネント などのオフィスおよびコラボレーションプラットフォーム
クラウドとAzureワークロード には、Azure Compute Gallery、 Azure MCP Server、Azure IoT Explorer、Azure Arc、Azure Linux VMs、そしてAzure Windows Virtual Machine Agentが含まれます。
データベースおよび管理ツール(SQL ServerやSystem Center Operations Managerを含む)
主要なストーリーは、影響を受けたエンタープライズの幅広い領域です。2026年3月は、1つの主要なゼロデイに集中するのではなく、多くの組織が日々依存している複数の高価値システムに影響を及ぼすために際立っています。
ディフェンダーにとっては、これはリスクベースのパッチ月になります。チームは、インターネットへの露出、特権レベル、ビジネス上の重要性、および影響を受けた各製品が環境全体にどの程度展開されているかを基に、更新の優先順位を決定すべきです。
ゼロデイおよびエクスプロイトが可能な脆弱性
アクティブに利用されているゼロデイ脆弱性
2026年3月のCVEには、悪用が検出されたものはありません。
それでも、それを低リスクのパッチ・チューズデーと間違えないでください。いくつかの脆弱性は悪用の可能性が高いとされており、迅速にレビューし、適用することが重要です。
悪用される可能性が高い脆弱性
Microsoftは、次の脆弱性について「Exploitation More Likely(悪用される可能性が高いもの)」として指定しました。
CVE-2026-23668 | Microsoft Graphics Component
CVE-2026-24289 | Windowsカーネル
CVE-2026-24291 | Windowsアクセシビリティインフラストラクチャ (ATBroker.exe)
CVE-2026-24294 | Windows SMBサーバー
CVE-2026-25187 | Winlogon
CVE-2026-26132 | Windowsカーネル
これらの問題は、特権昇格、持続性、および横方向の移動シナリオで頻繁に役立つ基本的なWindowsコンポーネントに影響を与えます。確認された悪用がなくても、迅速な検証と迅速な設定を行う価値があります。
注意すべき重大な脆弱性
2026年3月には、確認されたゼロデイの悪用がなくても即時対応が必要な高重大度の脆弱性がいくつか含まれています。
最も高い深刻度の脆弱性
CVE-2026-21536 | Microsoft デバイス価格プログラム | CVSS 9.8
これは今月のリリースでスコアが最も高い脆弱性です。
影響を受けたサービスを使用している組織は直ちに露出を確認し、最優先の修正項目として対処する必要があります。
重大なインフラストラクチャとサーバーのリスク
CVE-2026-20967 | システムセンター オペレーションズ マネージャー | CVSS 8.8
CVE-2026-21262 | SQL Server | CVSS 8.8
CVE-2026-23669 | Windows Print Spooler Components | CVSS 8.8
CVE-2026-24283 | Windowsファイルサーバー | CVSS 8.8
CVE-2026-25172 | Windows RRAS | CVSS 8.8
CVE-2026-25177 | Active Directory ドメイン サービス | CVSS 8.8
CVE-2026-25188 | Windows テレフォニーサービス | CVSS 8.8
CVE-2026-26111 | Windows RRAS | CVSS 8.8
CVE-2026-26115 | SQL Server | CVSS 8.8
CVE-2026-26116 | SQL Server | CVSS 8.8
これらの脆弱性は、認証、データベース操作、リモートアクセス、印刷インフラストラクチャ、およびコアIT管理ワークフローに関連するシステムに影響を与えるため、際立っています。
コラボレーションと生産性プラットフォームのリスク
CVE-2026-26106 | Microsoft Office SharePoint | CVSS 8.8
CVE-2026-26114 | Microsoft Office SharePoint | CVSS 8.8
CVE-2026-26109 | Microsoft Office Excel | CVSS 8.4
CVE-2026-26110 | Microsoft Office | CVSS 8.4
CVE-2026-26113 | Microsoft Office | CVSS 8.4
Microsoftのコラボレーションおよび生産性プラットフォームに大きく依存している組織にとって、これらの問題は、特にSharePointが露出しているか、広く使用されている場合、パッチサイクルの初期段階で見直す必要があります。
Azureとクラウドに関するリスク
CVE-2026-26118 | Azure MCP サーバー | CVSS 8.8
CVE-2026-26125 | Payment Orchestrator Service | CVSS 8.6
クラウドおよびハイブリッド環境も、顧客のアクションが必要な問題とサービス側の修正が必要な問題を見極めるために、Azure関連の3月のCVE全体を確認する必要があります。
IT チームのためのパッチ優先順位ガイド
2026年3月は、単に深刻度スコアだけでなく、露出やビジネスへの影響を基にパッチ適用を優先すべき月です。
72時間以内にパッチを適用
まず、高い深刻度と企業全体の影響範囲を兼ね備えた脆弱性に焦点を当ててください:
CVE-2026-21536 | Microsoft デバイス価格プログラム
すべての悪用の可能性が高い脆弱性:
CVE-2026-23668
CVE-2026-24289
CVE-2026-24291
CVE-2026-24294
CVE-2026-25187
CVE-2026-26132
高重大度のインフラストラクチャの脆弱性:
SQL Server | CVE-2026-21262, CVE-2026-26115, CVE-2026-26116
RRAS | CVE-2026-25172, CVE-2026-26111
AD DS | CVE-2026-25177
SharePoint | CVE-2026-26106, CVE-2026-26114
Windows Print Spooler コンポーネント | CVE-2026-23669
System Center Operations Manager | CVE-2026-20967
Azure MCP Server | CVE-2026-26118
Payment Orchestrator Service | CVE-2026-26125
1、2週間以内にパッチを適用
最初の波が確認された後、共通のワークロードに影響を与える場合に特に注意を払いながら、7.5–8.1の脆弱性のより広いセットに焦点を当ててください。
Azure IoT Explorer | CVE-2026-23661, 23662, 23664, 26121
Azure Portal Windows Admin Center | CVE-2026-23660
Azure Linux Virtual Machines | CVE-2026-23665
Windows UDFS / ReFS / NTFS | CVE-2026-23672, 23673, 25175
Windows SMBサーバー | CVE-2026-26128
Microsoft Office Excel | CVE-2026-26107, 26108, 26112
Officeコア | CVE-2026-26110、26113、26134
Azure Entra ID | CVE-2026-26148
ASP.NET Core / .NET | CVE-2026-26130, 26127, 26131
定期的なパッチサイクル
優先度の低い項目には、「Exploitation Unlikely」とマークされたものや、次のような低得点のローカル問題が含まれます。
Windows App Installer | CVE-2026-23656
プッシュメッセージルーティングサービス | CVE-2026-24282
Windowsデバイスアソシエーションサービス | CVE-2026-24296
Microsoft Authenticator | CVE-2026-26123
Azure Compute Gallery の低い重大度のエントリ
エクスプロイトされにくく、適用範囲の狭いWindowsローカルコンポーネントに関するその他の問題
ITおよびセキュリティチームが次に行うべきこと
このリリースは、Windowsシステム、アイデンティティサービス、コラボレーションプラットフォーム、データベース、Azureワークロードにわたる重要なリスクを拡散しているため、チームは迅速かつ系統的に動く必要があります。
1. 自分の露出部分を特定する
今月特に目立つシステムを含めたエクスポージャーのマッピングから始めましょう。
SQL Server
SharePoint
Windows RRAS
Active Directory Domain Services
Windows Print Spooler
System Center Operations Manager
Azure MCP サーバー
影響を受けるその他のAzureおよびWindowsのインフラストラクチャコンポーネント
これは、チームが最初に未パッチの場合に最大のビジネスおよびセキュリティリスクを生む資産に集中するのを助けます。
2. 悪用されやすい脆弱性を優先する
Microsoftが『Exploitの可能性が高い』とマークした脆弱性は、確認されていないものの、優先順位を上げるべきです。
これらの問題は、広く展開されているWindowsコンポーネントに影響を与え、特権エスカレーション、永続性、または横方向の移動の実用的な攻撃経路になる可能性があります。それにより、これらはエンドポイントとサーバーの両方に迅速な検証と早期の展開を行う際の重要な候補となります。
3. 顧客が適用した問題をサービス側の修正と分ける
Azure関連の脆弱性については、どの修正が貴社のチームによる対応が必要か、どの修正がMicrosoftによってサービス側で処理されるかを確認してください。
このステップは、ハイブリッドおよびクラウド中心の環境で特に重要です。このような環境では、パッチの所有権が明確でない場合があるため、推測によってカバーの隙間が生じることがあります。
4. 徐々に展開してから迅速に拡大する
すべての3月のアップデートを同じように扱うのではなく、まずは以下に焦点を当てた第一波から始めましょう:
インターネットに面するシステム
アイデンティティインフラストラクチャ
コラボレーションプラットフォーム
データベースサーバー
高いリスクにさらされたWindows資産
その後、一般的な作業負荷や内部システムに影響を及ぼしている優先度の高い脆弱性の広範なセットに対して、設定を確認し拡大します。
5. フラットなパッチキューではなく、リスクに基づいたステージングを使用する
ビジネスの露出度、権限レベル、運用の重要性に基づいた段階的なロールアウトは、単一の差別化のない一括での更新を押し進めるよりも効果的です。
3月の目標は、まず最も露出している部分のリスクを迅速に低減し、その後、緊急な修復を遅らせることなく、広範囲のパッチカバレッジを完了することです。
再公開されたCVEおよび非MicrosoftのCVEも記録されています。
Microsoftの2026年3月リリースには、10個の再出版された非Microsoft CVEも含まれていますが、これらは全体のPatch Tuesdayのストーリーの二次的な部分として扱われるべきです。
このグループで特に注目すべき項目は次の通りです:
CVE-2026-26030 | Microsoft Semantic Kernel Python SDK
CVE-2026-3536 から CVE-2026-3545 | Microsoft Edge (Chromiumベース)
ほとんどのITチームにとって、これらの再公開された項目は、リスクの高い3月の脆弱性よりも優先されるべきではありません。
とはいえ、組織は、影響を受ける開発者ツール、ブラウザーの展開、または関連するサードパーティソフトウェアに依存している場合、これらの非Microsoftまたは再発行されたCVEが自分たちの環境に適用されるかどうかを確認する必要があります。
Splashtop AEM はどのように役立つか
Splashtop AEMは、ITチームがパッチ管理の複雑さを解消するのに役立ちます。エンドポイントとパッチのステータスをリアルタイムで可視化することで、チームは脆弱なシステムを迅速に特定し、リスクに基づいて更新を優先し、環境全体により速くパッチを適用することができます。
それが問題かどうかは関係ありません:
手動でパッチを適用しており、さらなる自動化と可視性が必要です
Microsoft Intuneを使用していますが、より迅速なパッチ適用と強力な運用管理を望んでいます
従来のRMMに頼っていて、パッチ配布を管理するためのより軽量で効率的な方法をお探しですか?
ツールやデバイス全体でのパッチステータスを追跡する代わりに、Splashtop AEMは自動パッチ適用、CVEに焦点を当てた優先順位付けの向上、ハードウェアとソフトウェアのインベントリへの明確な可視性を提供し、迅速に行動を起こすのをサポートします。
2026年3月のPatch Tuesdayの場合、リスクを整理する時間が減り、それを修正するための時間が増えることを意味します。
Splashtop AEMを無料で試す
2026年3月のようなPatch Tuesdayでは、パッチ適用がどれほど優先順位の課題に変わるかを示しています。Windowsインフラストラクチャ、SQL Server、SharePoint、アイデンティティサービス、Azureワークロードがすべて同時に脆弱性の影響を受けると、ITチームは手動作業ではなく迅速な可視性と効率的な設定を必要とします。
Splashtop AEM は、チームが欠落しているパッチを特定し、修正の優先順位をつけ、展開を自動化し、環境全体での可視性を向上させるのに役立ちます。
今日、Splashtop AEM の無料トライアルを始めて、パッチ管理を簡素化し、重大な脆弱性に迅速に対応しましょう。
