2026年2月10日、マイクロソフトは月例の「パッチチューズデー」を迎え、広範な製品にわたるセキュリティアップデートを公開しました。今回のアップデートでは、合計59件の脆弱性が修正され、そのうち6件はすでに攻撃で悪用されているゼロデイ脆弱性であることが判明しています。さらに、これらのゼロデイのうち3件は、修正プログラムが公開される前から一般に情報が公開されていました。
修正された脆弱性の内訳を見ると、5件が「緊急」と評価されており、その中には3件の特権昇格の欠陥と2件の情報漏洩の欠陥が含まれています。全体としては、特権昇格が25件、セキュリティ機能のバイパスが5件、リモートコード実行が12件、情報漏洩が6件、サービス拒否が3件、なりすましが7件、クロスサイトスクリプティングが1件と多岐にわたります。これらの数値は、今月上旬に別途修正された3件のMicrosoft Edgeブラウザの脆弱性を含んでいません。
今回のパッチチューズデーは、単なる定期的なアップデート以上の意味を持ちます。特に、すでに攻撃に利用されているゼロデイ脆弱性が多数含まれていることは、組織にとって迅速な対応が不可欠であることを示唆しています。攻撃者は常に新たな脆弱性を探し、それを悪用してシステムへの侵入を試みているため、最新のセキュリティパッチを適用することは、サイバー攻撃から身を守るための最も基本的な、しかし最も重要な防御策となります。
マイクロソフトは、これらの脆弱性への対応と並行して、2026年6月下旬に期限切れとなる2011年発行のSecure Boot証明書を置き換えるための更新プログラムの展開も開始しました。この更新は、デバイスが新しい証明書を安全かつ段階的に受け取れるよう、Windowsの品質アップデートを通じて行われます。この取り組みは、将来的なブートレベルの保護を確保し、システムのセキュリティ基盤を強化する上で極めて重要です。
水面下で進行していた攻撃:悪用されたセキュリティ機能バイパスの深層
今回修正された6つのゼロデイ脆弱性のうち、特に注目すべきは、セキュリティ機能のバイパスに関連する3つの欠陥です。これらは、CVE-2026-21510 (Windows Shell Security Feature Bypass)、CVE-2026-21513 (MSHTML Framework Security Feature Bypass)、そしてCVE-2026-21514 (Microsoft Word Security Feature Bypass)です。これらの脆弱性は、いずれも攻撃者がユーザーを欺き、悪意のあるコンテンツを実行させることを可能にするものでした。
CVE-2026-21510は、特別に細工されたリンクやショートカットファイルを開かせることで悪用されるWindows Shellのセキュリティ機能バイパスです。マイクロソフトによると、攻撃者はこの脆弱性を利用してWindows SmartScreenやWindows Shellのセキュリティプロンプトを迂回し、ユーザーの警告や同意なしに攻撃者制御のコンテンツを実行させることが可能でした。これは、Mark of the Web (MoTW) のセキュリティ警告を回避する手口である可能性が高いとされています。
CVE-2026-21513は、MSHTML Frameworkにおける保護メカニズムの欠陥であり、ネットワーク経由でセキュリティ機能をバイパスすることを許します。Action1の脆弱性研究ディレクターであるジャック・バイサー氏は、この脆弱性が悪意のあるファイルとユーザーがやり取りする際に実行プロンプトをバイパスさせ、Windowsのセキュリティプロンプトを静かに回避して危険なアクションを引き起こす可能性があると指摘しています。また、Tenableのシニアスタッフ研究エンジニアであるサトナム・ナラン氏は、この脆弱性がHTMLファイルを利用して悪用されうると述べています。
CVE-2026-21514は、Microsoft Wordにおけるセキュリティ機能バイパスで、攻撃者は悪意のあるOfficeファイルをユーザーに送りつけ、開かせることで悪用します。この欠陥は、Microsoft 365およびMicrosoft OfficeにおけるOLE緩和策をバイパスするもので、プレビューペインでは悪用できないとされています。これら3つの脆弱性は、マイクロソフト脅威インテリジェンスセンター (MSTIC)、マイクロソフトセキュリティレスポンスセンター (MSRC)、Office製品グループセキュリティチーム、Google脅威インテリジェンスグループ、および匿名の研究者によって発見され、報告されました。
特権昇格の脅威:システム深部への侵入経路を塞ぐ
今回のパッチチューズデーで修正されたゼロデイ脆弱性の中には、システムへの深い侵入を可能にする特権昇格の欠陥も含まれていました。具体的には、CVE-2026-21519 (Desktop Window Manager Elevation of Privilege)とCVE-2026-21533 (Windows Remote Desktop Services Elevation of Privilege)の2件です。これらの脆弱性は、攻撃者がすでにシステムへのアクセスを得ている場合に、その権限を大幅に引き上げ、より広範な制御を奪うことを可能にします。
CVE-2026-21519は、Desktop Window Managerにおける特権昇格の脆弱性であり、悪用が成功すると攻撃者はSYSTEM権限を獲得できるとマイクロソフトは警告しています。SYSTEM権限はWindowsシステムにおける最高レベルの権限であり、これを奪われることは、攻撃者がシステムを完全に掌握できることを意味します。この脆弱性は、MSTICとMSRCによって発見されました。
さらに深刻なのは、CVE-2026-21533です。これはWindows Remote Desktop Servicesにおける不適切な特権管理の欠陥で、認証された攻撃者がローカルで特権を昇格させることが可能です。サイバーセキュリティベンダーのCrowdStrikeのAdvanced Research Teamがこの脆弱性を発見し、報告しました。CrowdStrikeのCounter Adversary Operations責任者であるアダム・マイヤーズ氏は、このエクスプロイトバイナリがサービス設定キーを攻撃者制御のキーに置き換えることで、攻撃者が新しいユーザーをAdministratorグループに追加し、特権を昇格させることができると説明しています。
Immersiveのサイバー脅威研究担当シニアディレクターであるケブ・ブリーン氏は、これらのローカル特権昇格の脆弱性について、攻撃者が悪意のある添付ファイル、リモートコード実行の脆弱性、または他の侵害されたシステムからの横方向移動を通じて、すでに脆弱なホストへのアクセスを得ている必要があると述べています。一度ホストに侵入した攻撃者は、これらの脆弱性を利用してSYSTEM権限に昇格し、セキュリティツールの無効化、追加マルウェアの展開、さらには機密情報や認証情報のアクセスを通じて、最悪の場合にはドメイン全体の侵害につながる可能性があると警告しています。
サービス停止を狙う攻撃と専門家の警告:DoS脆弱性の実態
今回のパッチチューズデーで修正されたゼロデイ脆弱性の中には、システムの可用性を脅かすサービス拒否(DoS)の欠陥も含まれていました。CVE-2026-21525 (Windows Remote Access Connection Manager Denial of Service)は、Windows Remote Access Connection Managerにおけるヌルポインタ逆参照の脆弱性であり、認証されていない攻撃者がローカルでサービスを拒否できるというものです。
この脆弱性の発見には、ACROS Securityチームと0patchが貢献しました。ACROSのCEOであるミッチャ・コルセク氏は、BleepingComputerに対し、このエクスプロイトが2025年12月に公開されているマルウェアリポジトリで発見されたと語っています。彼らは当時、別の関連する脆弱性(CVE-2025-59230)のエクスプロイトを探している最中に、この問題がゼロデイであることを突き止め、マイクロソフトに報告する前に独自のマイクロパッチを公開しました。
コルセク氏は、このエクスプロイトが実際に攻撃でどのように悪用されているかについては確信が持てないとしつつも、「両方の問題を組み合わせたエクスプロイトの品質は、プロフェッショナルな仕事を示唆している」と述べています。これは、高度な技術を持つ攻撃者がこの脆弱性を利用する準備ができていた可能性を示唆しており、たとえ現時点での悪用状況が不明であっても、潜在的な脅威は非常に高いと言えます。
サービス拒否攻撃は、システムのダウンタイムを引き起こし、ビジネス運営に甚大な影響を与える可能性があります。特に、Remote Access Connection Managerのような重要なコンポーネントにおけるDoS脆弱性は、リモートアクセス機能の停止を通じて、組織の業務継続性を直接的に脅かすことになります。このため、この脆弱性に対するパッチ適用は、システムの安定性と可用性を維持する上で極めて重要です。
セキュリティ基盤の再構築:セキュアブート証明書と新イニシアチブが示す未来
マイクロソフトは、今回のパッチチューズデーにおいて、単なる脆弱性修正に留まらない、より広範なセキュリティ強化策も発表しています。その一つが、Secure Boot証明書の更新です。2011年に発行されたオリジナルの証明書が2026年6月下旬に期限切れとなるため、マイクロソフトは新しい証明書の展開を開始しました。この更新は、Windowsの品質アップデートを通じて段階的に行われ、デバイスが新しい証明書を安全に受け取れるよう設計されています。
新しいSecure Boot証明書を期限までに受け取らなかった場合、PCは通常通り機能し、既存のソフトウェアも引き続き動作しますが、セキュリティ状態が劣化し、将来のブートレベルの保護を受けられなくなる可能性があります。The Hacker Newsの報道によれば、新しいブートレベルの脆弱性が発見された場合、影響を受けるシステムは新たな緩和策をインストールできなくなり、時間とともに互換性の問題が発生する可能性もあると警告されています。これは、最新のオペレーティングシステム、ファームウェア、ハードウェア、またはSecure Bootに依存するソフトウェアがロードに失敗する事態を招きかねません。
さらにマイクロソフトは、「Secure Future Initiative」と「Windows Resiliency Initiative」の一環として、Windowsのデフォルト保護を強化する2つのセキュリティイニシアチブを発表しました。一つは「Windows Baseline Security Mode」で、これによりWindowsはランタイム整合性保護がデフォルトで有効な状態で動作するようになります。これにより、適切に署名されたアプリ、サービス、ドライバーのみが実行を許可され、システムへの改ざんや不正な変更から保護されます。
もう一つは、「User Transparency and Consent」です。これはApple macOSのTransparency, Consent, and Control (TCC) フレームワークに類似しており、セキュリティに関する決定を処理するための一貫したアプローチを導入することを目指しています。マイクロソフトの著名なエンジニアであるローガン・アイヤー氏は、アプリがファイル、カメラ、マイクなどの機密リソースにアクセスしようとする際や、意図しないソフトウェアをインストールしようとする際に、オペレーティングシステムがユーザーにプロンプトを表示すると説明しています。これらのプロンプトは明確で実行可能に設計されており、ユーザーはいつでも選択を確認・変更できる柔軟性が提供されます。また、アプリやAIエージェントもより高い透明性基準を満たすことが求められ、ユーザーとIT管理者の両方にその動作に関するより良い可視性を提供します。
連邦機関への緊急指令と広がる警戒:CISAの警告
今回のマイクロソフトのパッチチューズデーで修正された6つのゼロデイ脆弱性の深刻さは、米国政府機関の対応にも明確に表れています。米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、これら6件の脆弱性すべてを「既知の悪用されている脆弱性(KEV)カタログ」に追加しました。これは、連邦政府の行政機関(FCEB)に対し、2026年3月3日までにこれらの修正プログラムを適用することを義務付ける拘束力のある運用指令を発行したことを意味します。
CISAがKEVカタログに脆弱性を追加することは、その脆弱性が実際に攻撃で悪用されており、国家レベルでのリスクが高いと判断されたことを示します。連邦機関に対するこの緊急指令は、これらのゼロデイ脆弱性がもたらす潜在的な脅威の大きさを浮き彫りにしています。期限までにパッチを適用しない場合、連邦機関は重大なセキュリティリスクにさらされることになります。
このCISAの動きは、連邦機関だけでなく、すべての組織にとって重要な警鐘となります。攻撃者がすでにこれらの脆弱性を悪用しているという事実は、企業や組織が迅速かつ徹底的にシステムを更新する必要があることを強く示唆しています。特に、特権昇格やセキュリティ機能バイパスのような脆弱性は、攻撃者がシステムに深く侵入し、機密データを窃取したり、さらなるマルウェアを展開したりする足がかりとなるため、その影響は計り知れません。
今回のゼロデイ脆弱性の発見と修正、そしてCISAによる迅速な対応は、サイバーセキュリティの脅威が常に進化し、組織が常に警戒を怠らないことの重要性を再認識させます。パッチの適用は、単なるIT部門のタスクではなく、組織全体のセキュリティ体制を維持するための経営課題として捉えるべきです。特に、Remote Access Connection ManagerやWindows Remote Desktop Servicesのような、リモートアクセスに関連する脆弱性は、リモートワークが普及した現代において、攻撃者にとって魅力的な標的となり得ます。
脅威インテリジェンスが照らす闇:攻撃の背景と今後の動向
今回のマイクロソフトのパッチチューズデーで修正された6つのゼロデイ脆弱性の発見には、複数のセキュリティ研究機関や企業が貢献しました。Microsoft Threat Intelligence Center (MSTIC)、Microsoft Security Response Center (MSRC)、Office Product Group Security Team、Google Threat Intelligence Group (GTIG)、そして匿名の研究者が、セキュリティ機能バイパスの脆弱性(CVE-2026-21510、CVE-2026-21513、CVE-2026-21514)の発見に名を連ねています。また、Desktop Window Managerの特権昇格(CVE-2026-21519)はMSTICとMSRCが、Windows Remote Access Connection ManagerのDoS(CVE-2026-21525)はACROS Securityチームと0patchが、Windows Remote Desktop Servicesの特権昇格(CVE-2026-21533)はCrowdStrikeのAdvanced Research Teamがそれぞれ発見しました。
これらの多様な情報源からの報告は、現代のサイバー脅威環境において、脅威インテリジェンスの共有と連携がいかに重要であるかを浮き彫りにしています。しかし、多くのゼロデイ脆弱性について、マイクロソフトは具体的な悪用キャンペーンや攻撃者の詳細を公開していません。例えば、CVE-2026-21510、CVE-2026-21513、CVE-2026-21514が同一のキャンペーンで悪用されたかどうかは不明です。また、CrowdStrikeはCVE-2026-21533の悪用活動を特定の攻撃者に帰属させていません。
それでも、ACROS Securityのミッチャ・コルセク氏がCVE-2026-21525のエクスプロイトについて「プロフェッショナルな仕事」と評したことや、CrowdStrikeがCVE-2026-21533のエクスプロイトバイナリを保有する脅威アクターが「近い将来、その使用または販売の試みを加速させる可能性が高い」と警告していることは、これらの脆弱性が高度な技術を持つ攻撃者によってすでに利用されているか、あるいは利用される準備が整っていることを示唆しています。
この状況は、サイバーセキュリティの最前線で繰り広げられる「猫と鼠のゲーム」の現実を改めて示しています。脆弱性が発見され、修正されるまでの間にも、攻撃者はその隙を突こうと常に活動しています。組織は、単にパッチを適用するだけでなく、脅威インテリジェンスを継続的に監視し、自社のセキュリティ体制を定期的に評価・強化していく必要があります。特に、CISAが連邦機関に課した厳格な期限は、すべての組織がゼロデイ脆弱性への対応を最優先事項とすべきであるという強いメッセージを発しています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws - https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/
- -Microsoft Patches 59 Vulnerabilities Including Six Actively Exploited Zero-Days - https://thehackernews.com/2026/02/microsoft-patches-59-vulnerabilities.html