サイバーセキュリティ最前線(73) 3月9日～15日の最新サイバーセキュリティ情報 - Windows・Office・ルーターに重大脆弱性、AIフィッシングも加速

3月9日～15日にかけて公開された主要なサイバーセキュリティ情報を整理する。MicrosoftはWindowsやOfficeなどに影響する複数の脆弱性を修正する月例更新を公開し、AdobeもAcrobatおよびReaderの任意コード実行の恐れがある問題を修正した。TP-Link製ルーターにはroot権限取得につながる脆弱性が報告された。生成AIの進化によりフィッシングやソーシャルエンジニアリング攻撃は高度化し、ディープフェイクを利用した詐欺が実際の企業被害を生んでいる。組織には継続的な更新適用と人的対策の強化が求められる。

連載のこれまでの回はこちらを参照。

3月9日～15日の最新サイバーセキュリティ情報

本稿では、3月9日～15日に公開された主要なサイバーセキュリティ関連情報を整理し、企業や組織が注視すべき脅威動向を解説する。Microsoftの月例セキュリティ更新やAdobe製品の脆弱性修正、ネットワーク機器の重大な欠陥など、システム運用に直結する重要なアップデートを中心に取り上げる。

生成AIの普及によって変化するフィッシング攻撃やソーシャルエンジニアリングの新たなリスク、フィッシング報告件数の動向、CISAが公開する既知悪用脆弱性の追加情報なども紹介する。

今週も重要な脆弱性の公開や生成AIを悪用した新しい詐欺手法など、見逃せないサイバーセキュリティ情報が相次いだ。それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

Microsoft、2026年3月の月例セキュリティ更新を公開、WindowsやOfficeなどの脆弱性を修正

Microsoftは3月10日（米国時間）、同社製品に影響する複数の脆弱性を修正する月例のセキュリティ更新プログラムを公開した。対象製品を利用しているユーザーや組織に対し、できるだけ早期に更新プログラムを適用するよう呼びかけている（参考「2026 年 3 月のセキュリティ更新プログラム (月例)」）。

2026 年 3 月のセキュリティ更新プログラム（月例）

今回の更新で修正されたセキュリティ脆弱性のうち、次の2件については、更新プログラム公開前に脆弱性の詳細が一般公開されていたことが確認されている。

CVE-2026-26127（.NETのサービス拒否の脆弱性）
CVE-2026-21262（SQL Serverの特権昇格の脆弱性）

これらは攻撃の手掛かりとなる情報がすでに公開されている可能性があるため、とくに迅速な更新の適用が推奨されている。セキュリティ更新プログラムに関連する既知の問題については、各更新プログラムのサポート技術情報に記載されている。

今回公開されたセキュリティ更新プログラムの対象には、Windows、Windows Server、Microsoft Office、SharePointなどの主要製品が含まれる。主な対象製品と影響は次のとおり。

Windows 11 v26H1、v25H2、v24H2、v23H2：重要（リモートコード実行）
Windows Server 2025（Server Core installationを含む）：重要（リモートコード実行）
Windows Server 2022、23H2（Server Core installationを含む）：重要（リモートコード実行）
Windows Server 2019、2016（Server Core installationを含む）：重要（リモートコード実行）
Microsoft Office：緊急（リモートコード実行）
Microsoft SharePoint：緊急（リモートコード実行）
Microsoft .NET：重要（特権昇格）
Microsoft SQL Server：重要（特権昇格）
Microsoft Azure：重要（特権昇格）
System Center Operations Manager：重要（特権昇格）

リモートコード実行の脆弱性は、攻撃者が遠隔から不正なコードを実行できる可能性があるもので、影響が大きいとされる。企業システムやサーバ環境では、更新の適用状況の確認が重要となる。

Microsoftは、影響を受ける製品を利用しているユーザーや管理者に対し、速やかに更新プログラムを適用し、システムを最新の状態に保つよう注意を呼びかけている（Microsoft製品では一部の例外を除き自動更新が既定で有効となっており、通常は自動的にセキュリティ更新プログラムが適用される）。

Adobe、Acrobat/Readerの脆弱性修正アップデート公開　任意コード実行の恐れ

Adobeは3月10日（米国時間）、「Acrobat」および「Acrobat Reader」向けのセキュリティアップデートを公開した。WindowsおよびmacOS版が対象で、任意コード実行や権限昇格につながる恐れのある複数の脆弱性を修正する（参考「Adobe Security Bulletin - Security update available for Adobe Acrobat Reader | APSB26-26」）。

Adobe Security Bulletin - Security update available for Adobe Acrobat Reader ｜ APSB26-26

修正されたセキュリティ脆弱性には、メモリー解放後使用（Use After Free）に起因する任意コード実行の問題が2件含まれており、いずれも深刻度は「Critical」（CVSSスコア7.8）とされている。加えて、暗号署名の検証が不適切となる問題（Improper Verification of Cryptographic Signature）も修正され、これにより権限昇格が可能になる恐れがある。こちらの深刻度は「Important」（CVSSスコア5.5）となっている。

セキュリティ脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

Acrobat DC 25.001.21265およびこれより前のバージョン（Windows、macOS）
Acrobat Reader DC 25.001.21265およびこれより前のバージョン（Windows、macOS）
Acrobat 2024 4.001.30307およびこれより前のバージョン（Windows）
Acrobat 2024 24.001.30308およびこれより前のバージョン（macOS）

セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Acrobat DC 25.001.21288（Windows、macOS）
Acrobat Reader DC 25.001.21288（Windows、macOS）
Acrobat 2024 24.001.30356（Windows、macOS）

Adobeによれば、これらの脆弱性が実際に悪用された事例は現時点で確認されていないという。ユーザーはアプリケーションの「Help」メニューから「Check for Updates」を選択することで手動更新できるほか、自動更新機能による適用も可能とされている。Adobeのサイトからインストーラーをダウンロードして更新することもできる。

Adobeはユーザーに対し、影響を受けるバージョンを利用している場合は速やかに最新版へ更新するよう呼びかけている。

TP-Link製ルーター「Archer AXE75」に重大な脆弱性、root権限奪取の可能性

TP-Link Systemsは、Wi-Fiルーター「Archer AXE75」にコマンドインジェクションの脆弱性が存在するとして、セキュリティアドバイザリーを公開した。対象となる脆弱性は「CVE-2025-15568」で、CVSS v4.0の基本スコアは8.5（重要）と評価されている（参考「Security Advisory on Command Injection Vulnerability on TP-Link Archer AXE75 (CVE-2025-15568)」）。

Security Advisory on Command Injection Vulnerability on TP-Link Archer AXE75（CVE-2025-15568）

問題はArcher AXE75 v1.6およびv1.0のWebモジュールに存在するコマンドインジェクションの欠陥とされている。ルーターがアクセスポイントモード（sysmode=ap）で設定されている場合、隣接ネットワークからアクセス可能な認証済みの攻撃者がこの脆弱性を悪用することで、リモートコード実行（RCE）を行える可能性がある。

攻撃が成功した場合、攻撃者はルーター上でroot権限を取得でき、機器の機密性、完全性、可用性に影響を及ぼす恐れがあるとされる。

影響を受けるのはArcher AXE75 v1.6およびv1.0のうち、ファームウェア「1.3.2 Build 20250107」以前のバージョンだ。

TP-Link Systemsは、影響を受ける機器を利用しているユーザーに対し、最新のファームウェアをダウンロードして更新することを強く推奨している。推奨された対策を実施しない場合、脆弱性は残り続けるとして注意を呼びかけている。

「人」が狙われる生成AIが変えるフィッシング攻撃、リアルタイム詐欺への対策急務

Check Point Software Technologiesは3月11日（米国時間）、生成AIの普及によりソーシャルエンジニアリングやフィッシング攻撃が新たな段階に入り、企業のセキュリティ対策と従業員教育の強化が急務になっているとの見解を発表した（参考「AI-Powered Phishing: New Social Engineering Risks」）。

AI-Powered Phishing: New Social Engineering Risks

生成AIの発展により、これまで人手で作成されていた詐欺メッセージは数秒で生成できるようになり、個人に高度に最適化されたメッセージや、経営陣の声を模倣した音声、さらにはリアルな動画によるなりすましまで可能になっている。ディープフェイクを利用した詐欺はすでに実際の企業被害につながり、金銭的損失や業務混乱を引き起こすケースも報告されている。

オンライン会議やチャットなど日常的なコラボレーション環境では、本人確認が従来より難しくなっている。リアルタイムの音声・映像クローン技術により、これまで詐欺を見抜く手掛かりとなっていた違和感が減少し、従来型のセキュリティ意識教育だけでは対処が難しくなっているという。

Check Pointの調査では、AIによってソーシャルエンジニアリング攻撃は複数のチャネルにまたがり、リアルタイムで拡大する傾向が強まっている。実際の事例として、香港では財務担当者が経営陣を装った偽のグループビデオ会議に参加し、約2500万～2600万ドルの送金を行ってしまったディープフェイク詐欺が発生した。また、Ferrari ではTeams会議でCEOを名乗る人物が登場したが、従業員が本人確認の質問を行ったことで詐欺が未然に防がれたケースもあったそうだ。

さらに、恋愛詐欺や就職詐欺などで用いられていたリアルタイムのディープフェイク技術が、企業を標的としたソーシャルエンジニアリングにも広がっている。企業環境では迅速な意思決定が求められる一方で、信頼の判断材料が限られるため、攻撃者にとって有利な状況が生まれやすい。

AIの進化によりフィッシングの手法も変化している。大規模言語モデル（LLM：Large Language Model）は、実際の業務文脈を利用しながら上司や同僚、取引先を装ったメッセージを作成できるため、従来のような誤字や不自然な文章といった典型的な兆候は減少している。攻撃者は短時間で多数のメッセージを生成・検証し、メール、チャット、音声、動画など複数のチャネルを横断して攻撃を展開できるようになった。

Check Pointは企業が採るべき具体的な対策として、メールだけでなくSMSやコラボレーションツール、音声など複数チャネルでの模擬攻撃訓練の実施、送金やアカウント変更など重要な操作に対する別経路での本人確認手順の制度化、AI詐欺への注意喚起キャンペーンの定期実施などを挙げる。また、従業員の詐欺耐性や報告速度を測定し、リスクの高い部門に重点的な訓練を行うことも重要だと指摘する。

同社は「AIはフィッシング攻撃の規模と複雑さを加速させ、人が判断できる時間を大幅に短縮している」とし、「効果的な防御には、現実に近い模擬訓練、迅速な教育、そして組織としての本人確認手順の定着が不可欠だ」としている。

フィッシング報告が約72%減、ボットネット無力化が影響か

フィッシング対策協議会は3月12日、2026年2月のフィッシング報告状況を公表した。2月に寄せられたフィッシング報告件数は5万7096件で、前月から14万5254件減少し、約71.8%減となった。フィッシングサイトのURL件数（重複なし）も1万7073件と、前月から3万3749件減少し、約66.4%減となった。報告件数が5万件台となるのは2024年2月以来、およそ2年ぶり（参考「フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2026/02 フィッシング報告状況」）。

フィッシング対策協議会　Council of Anti-Phishing Japan ｜報告書類｜月次報告書｜ 2026/02 フィッシング報告状況

減少の背景としては、1月末に海外で行われたレジデンシャルプロキシやボットネットの無力化の影響が指摘される。また2月中旬以降の旧正月休暇期間には報告数が1月と比べ8～9割減少した。ただし休暇明けにはフィッシングメール配信が再び増加傾向となっており、警戒が必要とされる。

ブランド別では、マネックス証券を装うフィッシングが約23.9%で最も多く、Amazonが約11.7%で続いた。VISA、三井住友カード、Appleを含む上位5ブランドで全体の約52.5%を占める。分野別では、クレジット・信販系が約27.8%、証券系が約27.6%、EC系が約21.0%となった。

フィッシングサイトのURLでは、ランダムなサブドメインなどを使う手法が減少する一方、同一ホスト名でパラメーターを変更するURLが増加した。またdocs.google.comやsendgrid.netなどの正規サービスを悪用してフィッシングサイトへ誘導する例や、amazonaws.comのホスト名を利用するケースも確認された。

トップレベルドメイン（TLD）では、.comが約45.7%、.cnが約29.7%、.cfdが約19.3%で、この3種類で全体の約94.5%を占めた。

調査用メールアドレスに届いたフィッシングメールの分析では、実在サービスのドメインを装う「なりすまし」メールが約45.3%と増加した。送信元IPの国別では米国が約50.5%、シンガポールが約34.2%、日本約6.1%、中国約5.9%だった。1月に多かった中国発の配信は大きく減少している。

メールの文面では、多要素認証の設定依頼や契約更新通知、本人確認を装う内容が多く、本物のセキュリティ通知を模倣した手口も確認された。また、アカウント保護を装ってサポート詐欺サイトへ誘導するメールも増加している。

同協議会は、事業者に対してDMARCなど送信ドメイン認証の強化やBIMI導入の検討を呼びかけるとともに、利用者には多要素認証やパスキーの設定、正規アプリからのログイン確認などの対策を取るよう注意を促している。

フィッシング対策協議会　Council of Anti-Phishing Japan

VMwareやChromeなどに影響、CISAが6件の既知悪用脆弱性を追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、3月9日～15日にカタログに6つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

VMware Workspace ONE UEM Console 20.0.8から20.0.8.37よりも前のバージョン
VMware Workspace ONE UEM Console 20.11.0から20.11.0.40よりも前のバージョン
VMware Workspace ONE UEM Console 21.2.0から21.2.0.27よりも前のバージョン
VMware Workspace ONE UEM Console 21.5.0から21.5.0.37よりも前のバージョン
SolarWinds Web Help Desk 12.8.7およびこれよりも前のバージョン
Ivanti Endpoint Manager 2024 SU5よりも前のバージョン
n8n-io 0.211.0およびこれよりも前のバージョン
n8n-io 1.120.4よりも前のバージョン
n8n-io バージョン1.121.0
Google Chrome 146.0.7680.75よりも前のバージョン

CISAはこの期間に、すでに悪用が確認されている6件の脆弱性をKEVカタログへ追加した。これらの脆弱性はVMware Workspace ONE UEM、SolarWinds Web Help Desk、Ivanti Endpoint Manager、n8n、Google Chromeなど複数の製品に影響し、企業や組織で広く利用されているソフトウェアが含まれている。実際に攻撃で悪用されていることが確認されているため、対象製品を利用している環境ではリスクが高い状態にある。

組織は、自身の環境に該当する製品やバージョンが含まれていないかを確認し、ベンダーが提供する修正アップデートの適用などの対策を速やかに実施する必要がある。とくにCISAのKEVカタログに追加された脆弱性は、攻撃者による悪用の実例があることから優先度の高い対応が求められるため、継続的にカタログの更新状況を確認し、脆弱性管理プロセスに反映させていくことが重要だ。

*　*　*

本稿では、3月9日～15日にかけて公開されたサイバーセキュリティ関連の主要ニュースを整理した。MicrosoftやAdobeによる脆弱性修正、ネットワーク機器の重大な欠陥、AIを悪用したソーシャルエンジニアリングの拡大、フィッシング動向など、システムと人の双方を狙う攻撃が同時に進行している状況が確認できる。

サイバー攻撃の多くは既知の脆弱性や人的ミスを起点として成立する。組織や個人はソフトウェア更新の適用、脆弱性管理、従業員教育、本人確認手順の強化など複数の対策を組み合わせて実施する必要がある。最新の脅威情報を継続的に確認し、日常的にセキュリティ対策を実践することが重要だ。