ニュースに戻る
リサーチ重大

2026年2月のマイクロソフト月例更新で50件以上の脆弱性を修正、ゼロデイ6件を含む

1分で読めますソース: Krebs on Security
CVE-2026-21510CVE-2026-21513CVE-2026-21514CVE-2026-21533CVE-2026-21519CVE-2026-21525CVE-2026-21509CVE-2026-21516CVE-2026-21523CVE-2026-21256
Windows Update settings screen showing February 2026 Patch Tuesday security updates being applied

マイクロソフトが2026年2月の月例更新で50件以上の脆弱性を修正。6件のゼロデイを含む重大なセキュリティホールに対処し、企業や個人ユーザーへのリスクを低減。早急なパッチ適用が推奨される。

マイクロソフト、2026年2月の月例更新で6件のゼロデイ脆弱性に対する重要なパッチを公開

マイクロソフトは、2026年2月の月例更新(Patch Tuesday) をリリースし、Windowsオペレーティングシステムおよびその他のソフトウェアに存在する50件以上のセキュリティ脆弱性に対処しました。特に注目すべきは、すでに攻撃者によって悪用されている6件のゼロデイ脆弱性が修正された点です。これらの脆弱性は、企業や個人ユーザーにとって重大なリスクをもたらす可能性があります。

主な脆弱性と技術的詳細

今月修正された最も重大な脆弱性には、以下のものが含まれます:

  • CVE-2026-21510Windows Shellにおけるセキュリティ機能のバイパス。攻撃者がユーザーの同意ダイアログを回避し、クリック1回で悪意のあるコードを実行可能。すべてのサポート対象Windowsバージョンに影響。
  • CVE-2026-21513MSHTML(Internet ExplorerおよびレガシーWindowsアプリケーションのレンダリングエンジン)におけるセキュリティバイパス
  • CVE-2026-21514Microsoft Wordにおける関連するセキュリティ機能のバイパス。攻撃者が任意のコードを実行可能。
  • CVE-2026-21533Windows Remote Desktop Services (RDS)における権限昇格の脆弱性。ローカルの攻撃者がSYSTEMレベルのアクセスを獲得可能。
  • CVE-2026-21519Desktop Window Manager (DWM)(Windowsの中核コンポーネント)における権限昇格の脆弱性。マイクロソフトは先月、別のDWMゼロデイを修正したばかり。
  • CVE-2026-21525Windows Remote Access Connection Managerにおける**サービス拒否(DoS)**の脆弱性。企業ネットワークへのVPN接続を妨害する可能性。

さらに、マイクロソフトは、GitHub Copilotおよび統合開発環境(IDE)における3件のリモートコード実行(RCE)脆弱性にも対処しました。これには以下が含まれます:

これらのAI関連の脆弱性は、プロンプトインジェクション攻撃によって引き起こされるコマンドインジェクションの脆弱性に起因しています。悪意のある入力により、AIエージェントが不正なコマンドを実行する可能性があります。

影響分析

6件の積極的に悪用されているゼロデイ脆弱性は、パッチ適用の緊急性を浮き彫りにしています。攻撃者はすでにこれらの脆弱性を標的型攻撃に悪用しています。Windows Shell(CVE-2026-21510)およびMSHTML(CVE-2026-21513)の脆弱性は、ドライブバイ攻撃フィッシングキャンペーンのリスクが高い点で特に懸念されています。

権限昇格の脆弱性(CVE-2026-21533、CVE-2026-21519)は、限られたアクセス権しか持たない攻撃者がSYSTEM権限に昇格し、侵害されたシステムを完全に制御できる可能性があります。一方、**DoS脆弱性(CVE-2026-21525)**は、Remote Access Connection Managerにおけるもので、企業のVPNインフラに影響を与え、リモートワークを妨害する恐れがあります。

AI関連のRCE脆弱性(CVE-2026-21516、CVE-2026-21523、CVE-2026-21256)は、開発者やDevOpsチームにとって特に重要です。侵害されたIDEやAIエージェントは、サプライチェーン攻撃機密情報の流出につながる可能性があります。

セキュリティチームへの推奨事項

  1. パッチの優先適用6件のゼロデイおよびAI関連のRCE脆弱性を対象に、2026年2月の更新プログラムを即座に適用する。
  2. デプロイ前のテスト – エンタープライズ管理者は、本番環境以外でパッチをテストし、潜在的な問題についてはAskWoodyなどのリソースを監視する。
  3. 最小権限の原則の適用 – AIエージェントやIDEへのアクセスを制限し、資格情報が侵害された場合の露出を最小限に抑える。
  4. 悪用の監視EDR/XDRソリューションを使用して、特に権限昇格の試みに対する攻撃後の活動を検出する。
  5. 重要データのバックアップ – パッチ適用前にバックアップを最新の状態に保ち、潜在的な障害に備える。
  6. 開発者への教育 – AIツールにおけるプロンプトインジェクションのリスクについて認識を高め、セキュアコーディングの実践を徹底する。

パッチが適用されたすべての脆弱性の詳細な分析については、セキュリティチームは**SANS Internet Storm Centerの分析**を参照してください。

マイクロソフトの2026年2月の月例更新は、ゼロデイエクスプロイトからAI駆動型の攻撃ベクトルに至るまで、サイバー脅威の高度化が進んでいることを浮き彫りにしています。組織は、迅速なパッチ適用と堅牢な検出・対応能力の維持に努める必要があります。

共有

TwitterLinkedIn