.NETにサービス停止の脆弱性 広範なアプリケーションに影響：セキュリティニュースアラート

Microsoftは、.NETにサービス停止を引き起こす脆弱性CVE-2026-26127の修正を公開した。境界外メモリ読み取りに起因し、認証不要の遠隔攻撃でアプリ停止の恐れがある。.NET 9.0と10.0などに更新版が提供された。

[ITmedia エンタープライズ編集部，ITmedia]

　Microsoftは2026年3月10日（現地時間）、アプリケーション開発基盤「.NET」に存在するDoS攻撃を引き起こす脆弱（ぜいじゃく）性「CVE-2026-26127」に対応するセキュリティ更新を公開した。

　メモリ処理の境界外読み取りに起因するものとされ、ネットワーク経由の攻撃によってアプリケーションが停止する可能性がある。

.NET基盤の広範なアプリケーションに影響　急ぎ対応を

　CVE-2026-26127は、プログラムが確保されたメモリ領域の範囲外を読み取ることで発生する不具合だ。この状態が発生すると処理が異常終了し、対象サービスが停止する可能性がある。攻撃者は特別な認証やユーザー操作を必要とせず、ネットワーク経由で細工した要求を送信することで障害を誘発できる。共通脆弱性評価システム（CVSS）のスコアは7.5で、深刻度「重要」（High）と評価されている。

　影響を受けるソフトウェアは「Windows」「macOS」「Linux」で稼働する.NET 9.0および.NET 10.0だ。加えて、.NETアプリケーションが利用するメモリ関連ライブラリー「Microsoft.Bcl.Memory」9.0および10.0にも同様の問題が確認された。

　Microsoftは修正済みの更新版を公開しており、.NET 9.0はビルド9.0.14、.NET 10.0はビルド10.0.4に更新することで問題が解消される。Microsoft.Bcl.Memoryについても同じバージョンの更新が提供されている。対象環境の管理者や開発者には速やかな適用が求められる。

　今回の脆弱性は既に情報が公開されている状態で更新が発表された。公開後の技術分析によって攻撃手法が作成される可能性があるため、修正公開後も注意が必要とされる。ただし、現時点で実際の攻撃活動は確認されていない。

　Microsoftの評価では攻撃の成立確率は高くないとしており、直ちに攻撃に悪用される可能性は低いと判断されている。ただし、公開された情報を基にした検証や攻撃コードの開発が進めば、サービス停止を狙う攻撃に悪用される恐れがある。

　企業システムやクラウドサービスでは.NETを基盤とするアプリケーションが広く利用されている。業務システムやWebサービスで利用されるケースも多く、停止が発生した場合には業務継続やサービス提供に影響が出る可能性がある。管理者には、該当する.NET環境の更新状況を確認すると同時に、アプリケーションの異常終了や不審なネットワーク要求の有無をログで確認するなどの監視体制を整えることが求められる。

　Microsoftは2026年3月の月例更新プログラムで複数の脆弱性を修正しており、今回の.NETの問題もその一部として対処された。ソフトウェア基盤の安全性を保つためには、開発環境や運用環境の更新を継続的に実施することが重要となる。