はじめに:2026年2月のパッチチューズデー概観
2026年2月10日、Microsoftは月例のセキュリティ更新プログラム「パッチチューズデー」をリリースしました。今回の更新では、合計58件の脆弱性が修正され、その中には実際に悪用が確認されている6つのゼロデイ脆弱性(うち3件は公開済み)が含まれています。
これらのゼロデイ脆弱性は、修正パッチが利用可能になる前に悪用されていたか、その情報が公開されていたことを意味し、早急な対応が求められます。また、5件の「Critical」な脆弱性(特権の昇格が3件、情報漏洩が2件)も対応されています。
セキュリティ更新に加えて、Microsoftは2026年6月に期限切れとなる2011年版Secure Boot証明書を置き換えるための、更新されたSecure Boot証明書の展開も開始しています。
修正された主な脆弱性カテゴリ
今月のパッチチューズデーで修正された脆弱性のカテゴリ別内訳は以下の通りです。
- 特権の昇格 (Elevation of Privilege): 25件
- セキュリティ機能のバイパス (Security Feature Bypass): 5件
- リモートコード実行 (Remote Code Execution): 12件
- 情報漏洩 (Information Disclosure): 6件
- サービス拒否 (Denial of Service): 3件
- なりすまし (Spoofing): 7件
深刻な6つのゼロデイ脆弱性の詳細
今回の更新で特に注目すべきは、すでに悪用が確認されているか、情報が公開されている以下の6つのゼロデイ脆弱性です。
CVE-2026-21510 – Windows Shellセキュリティ機能バイパスの脆弱性:
- 悪意のあるリンクまたはショートカットファイルを開くことで悪用される可能性があります。
- 攻撃者はWindows SmartScreenおよびWindows Shellのセキュリティプロンプトをバイパスし、ユーザーの警告や同意なしに、攻撃者が制御するコンテンツを実行させることができました。
- Mark of the Web (MoTW) 警告をバイパスする可能性も指摘されています。
CVE-2026-21513 – MSHTML Frameworkセキュリティ機能バイパスの脆弱性:
- MSHTMLフレームワークにおける保護メカニズムの不備により、認証されていない攻撃者がネットワーク経由でセキュリティ機能をバイパスできる可能性があります。
- 具体的な悪用方法は公開されていません。
CVE-2026-21514 – Microsoft Wordセキュリティ機能バイパスの脆弱性:
- 攻撃者はユーザーに悪意のあるOfficeファイルを送信し、それを開かせることで悪用します。
- Microsoft 365およびMicrosoft OfficeにおけるOLE軽減策をバイパスするもので、ユーザーを保護する機能が迂回されます。
- この脆弱性はOfficeプレビューペインでは悪用できないとされています。
これら3つの脆弱性(CVE-2026-21510、CVE-2026-21513、CVE-2026-21514)が同一のキャンペーンで悪用されたかどうかは不明です。
CVE-2026-21519 – Desktop Window Manager特権昇格の脆弱性:
- この脆弱性を悪用した攻撃が成功すると、SYSTEM権限を取得される可能性があります。
- 悪用方法は公開されていませんが、深刻な影響が懸念されます。
CVE-2026-21525 – Windows Remote Access Connection Managerサービス拒否の脆弱性:
- Windows Remote Access Connection Managerにおけるヌルポインタ逆参照により、認証されていない攻撃者がローカルでサービス拒否を引き起こす可能性があります。
- 悪用の詳細については明らかにされていません。
CVE-2026-21533 – Windows Remote Desktop Services特権昇格の脆弱性:
- Windows Remote Desktop Servicesにおける不適切な特権管理により、認証された攻撃者がローカルで特権を昇格できる可能性があります。
- こちらも悪用の詳細は不明です。
その他の主要ベンダーからの更新
Microsoft以外にも、2026年2月にセキュリティ更新やアドバイザリをリリースしたベンダーが複数あります。
- Adobe: Audition、After Effects、InDesignなど複数の製品でセキュリティ更新をリリースしました。
- BeyondTrust: Remote Support (RS) および Privileged Remote Access (PRA) ソフトウェアにおける緊急のリモートコード実行 (RCE) 脆弱性を修正しました。
- CISA: 連邦政府機関に対し、サポート終了済みのネットワークエッジデバイスを削除する新たな運用指令を発行しました。
- Cisco: Secure Web ApplianceやCisco Meeting Managementなどでセキュリティ更新をリリースしました。
- Fortinet: FortiOSおよびFortiSandboxのセキュリティ更新をリリースしました。
- Google: Androidの2月セキュリティ速報をリリースしましたが、セキュリティ修正は含まれていませんでした。
- n8n: 以前修正されたCVE-2025-68613 RCE脆弱性に対するパッチバイパスとして機能する重要な脆弱性を修正しました。
- SAP: 複数の製品に対する2月のセキュリティ更新プログラムをリリースし、2つの重大な脆弱性に対処しました。
結論
2026年2月のパッチチューズデーは、6つのゼロデイ脆弱性を含む多数のセキュリティ修正を含んでおり、特に企業のIT担当者や個人ユーザーは、これらの更新プログラムを速やかに適用することが強く推奨されます。悪用が確認された脆弱性への対応は、サイバー攻撃のリスクを最小限に抑える上で極めて重要です。