【セキュリティニュース】2026年3月29日号|Microsoft 3月パッチで.NET・SQL Server脆弱性対応・IPA10大脅威にAIリスク初登場・ブロードバンドタワー攻撃最終報
secureMicrosoft 3月セキュリティ更新 .NETおよびSQL Serverの脆弱性詳細が先行公開―早急なパッチ適用を(at260005)
JPCERT/CCは2026年3月11日、「2026年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起」(at260005)を公表しました。IPAも同日、「Microsoft製品の脆弱性対策について(2026年3月)」として更新の適用を促しています。
今回の月例パッチで特に注意が必要なのは、更新プログラムの公開より先に脆弱性の詳細が一般に公開されていたとJPCERT/CCが確認した2件です。一つは「.NETのサービス拒否の脆弱性(CVE-2026-26127)」、もう一つは「SQL Serverの特権昇格の脆弱性(CVE-2026-21262)」です。詳細が公開された状態は、攻撃者がその情報をもとに悪用コードを開発する時間的余裕を与えるため、通常のパッチよりも優先的に適用する必要があります。
今回の更新は、Windows、Windows Server、Microsoft Office、SharePoint、.NET、SQL Server、Microsoft Azureなど幅広い製品を対象としています。悪用された場合にはリモートコード実行や権限昇格、サービス停止が起こり得ます。Microsoft Updateまたは Windows Update から適用できます。
SQL Serverは在庫・受発注・会計システムのバックエンドとして中小企業でも広く使われています。「SQL Serverは社内ネットワーク内にある」という理由でパッチを後回しにするケースがありますが、内部からの攻撃や横展開によって悪用されるリスクがあります。.NETも多くのビジネスアプリケーションが依存しているため、両方の適用状況を早急に確認してください。
- Windows Updateを実行し、2026年3月の累積更新プログラムが適用済みであることを確認する
- SQL Serverを運用している場合は、CVE-2026-21262 に対応するパッチを優先的に適用する
- .NETを利用したアプリケーションを運用している場合は、CVE-2026-26127 に対応する更新を確認する
- Windows Updateの自動更新が無効になっているPCがないか社内で確認する
- 社内サーバ(Windows Server)の更新状況はクライアントPCと別途確認が必要なため注意する
IPA「情報セキュリティ10大脅威2026」 AIリスクが3位に初ランクイン 中小企業向けの注目点
IPAは2026年1月29日に「情報セキュリティ10大脅威2026」を公表しました。3月に入り各セキュリティベンダーの解説記事が相次いで公開され、改めて注目を集めています。組織向けランキングでは「ランサム攻撃による被害」が4年連続で1位、「サプライチェーンや委託先を狙った攻撃」が2位を維持しました。
今回の最大の変化は、3位に「AIの利用をめぐるサイバーリスク」が初めてランクインしたことです。具体的には、生成AIに業務情報を入力した際の意図しない情報漏えい、AIが生成した結果を検証せずに使用することによるリスク、そして攻撃者がAIを使ってフィッシングメールの精度向上や攻撃自動化に悪用するケースが脅威として認定されました。警察庁の報告でも、詐欺グループがAIを活用してフィッシングサイトの日本語翻訳や攻撃対象の選定に利用していることが確認されています。
また、個人向け脅威では「インターネットバンキングの不正利用」が4年ぶりにランクインしました。フィッシング詐欺による不正送金被害が2025年に急増したことを反映しています(警察庁によると2025年の被害総額は約103億9,700万円)。
ChatGPTなどの生成AIサービスを業務で使い始めた中小企業が増えています。顧客情報や取引先情報を含む文書をAIに入力しているケースでは、サービス規約によっては学習データとして使われる可能性があります。また、AIを使って作られたフィッシングメールは文章の不自然さが減り、従来の見分け方が通用しにくくなっています。「AIを使っているから安全」ではなく「AIを使うことで生じるリスク」を認識する必要があります。
- 生成AIサービスに入力してよい情報の範囲を社内ルールとして明文化する(顧客情報・個人情報・未公開情報は原則として入力しない)
- ChatGPTなどでは「設定→データコントロール」からモデルの学習への使用をオフにする設定を確認する
- フィッシングメールの見分け方を従業員に周知する(送信元ドメイン確認・URLの確認・不審な添付ファイルの開封禁止)
- インターネットバンキングでは振込時の上限額設定と取引通知メールの設定を確認する
- IPA「情報セキュリティ10大脅威2026」の解説書(IPA公式サイトで無料配布)を経営者・担当者が一読することを推奨する
ブロードバンドタワーへのサイバー攻撃最終報 既知脆弱性悪用でサーバ6台侵害・顧客データへのアクセス痕跡も
データセンター事業者のブロードバンドタワー(東証スタンダード)は2026年2月24日、2025年12月に発覚したサイバー攻撃の最終調査報告を公表しました。ScanNetSecurityが2026年3月9日に詳報を伝え、「既知の脆弱性を悪用してサーバに侵入」という手口の詳細が明らかになっています。
攻撃は2025年12月5日深夜から12月8日早朝にかけて発生しました。攻撃者はクラウドサービス「c9 Flex Vシリーズ」の特定仮想サーバに存在していた既知の脆弱性をインターネット経由で悪用し、最初の侵入口を確保。その後、侵害したサーバを踏み台として内部の運用サーバへも横展開し、合計6台のサーバが侵害されました。侵入後にはサーバ上の一部データが削除された痕跡も確認されています。
既知の脆弱性とは、すでに公開されてパッチが提供済みの脆弱性を指します。つまり、対策が存在していたにもかかわらず、未適用の状態を突かれた可能性があります。調査の結果、c9 Vシリーズ以外のサービスやデータセンター基盤への侵害は確認されず、同社は2025年12月8日以降の追加侵害は検知されていないとしています。2025年12月に「ByteToBreach」と名乗るアカウントがハッキングフォーラムで侵害を主張していた経緯がありました。
今回の攻撃でとりわけ問題となっているのは「既知の脆弱性」が入口になった点です。パッチが存在するにもかかわらず未適用の機器は、攻撃者にとって容易な標的です。中小企業では、導入時の設定のまま放置されているVPN機器やファイアウォール、NAS、リモートデスクトップ環境が同様のリスクを抱えている可能性があります。クラウドサービスを利用している場合も、仮想サーバのOSやミドルウェアの更新は自社の責任範囲であることが多く、確認が必要です。
- インターネットから直接アクセス可能な機器(VPN機器・ルーター・NAS・ファイアウォール)のファームウェアを最新版に更新する
- クラウド上の仮想サーバを運用している場合は、OSおよびミドルウェアの更新状況を定期的に確認する
- 不要なポートやサービスを無効化し、インターネットへの公開範囲を最小限に絞る
- 機器の管理画面にデフォルトパスワードが残っていないか確認する
- JPCERT/CCが公開している「インターネット境界セキュリティの強化」に関する資料を参照する
編集部まとめ
本日は、Microsoftの月例パッチ、IPAの10大脅威、そして既知脆弱性悪用によるインフラ侵害の3本を取り上げました。3本に共通するのは「既存の対策を確実に実施しているか」という問いです。パッチの未適用、生成AIの無秩序な業務利用、インターネット公開機器の放置は、いずれも対策が存在するにもかかわらず起こるリスクです。まず自社の現状確認から着手してください。
