Microsoft 2026-02 月例アップデート:6 件のゼロデイを含む 58 件の脆弱性に対応

Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws

2026/02/10 BleepingComputer — 今日は Microsoft の February 2026 Patch Tuesday の日であり、58 件の脆弱性に対するセキュリティ更新が公開された。この中には、すでに悪用が確認されている 6 件の脆弱性と、3 件の公表済みゼロデイ脆弱性が含まれる。今月の Patch Tuesday では、5 件の Critical 脆弱性も修正されており、その内訳は特権昇格 3 件、情報漏えい 2 件である。

脆弱性カテゴリ別の件数は以下の通りである。

  • 25 件:特権昇格の脆弱性
  • 5 件:セキュリティ・バイパスの脆弱性
  • 12 件:リモートコード実行の脆弱性
  • 6 件:情報漏洩の脆弱性
  • 3 件:サービス拒否の脆弱性
  • 7 件:なりすましの脆弱性

BleepingComputer では、Patch Tuesday の報告日に Microsoft からリリースされた更新のみを集計している。そのため、今月の初めに修正された 3 件の Microsoft Edge の脆弱性は、この件数に含まれていない。

今月のアップデートの一環として Microsoft は、2011 年に発行され 2026年6月下旬に有効期限を迎える Secure Boot 証明書を置き換えるための、新しい Secure Boot 証明書の展開を開始した。

Microsoft は Windows 11 の更新ノートで、「このアップデートにより、Windows の品質更新においては、デバイスと Secure Boot 証明書更新の受信可否を識別するための、広範なターゲティング・データが含まれるようになる。それぞれのデバイスは、成功した更新シグナルを示した後にのみ、新しい証明書を受信できる。これにより、安全かつ段階的なロールアウトが確保される」と説明している。

なお、公開されたセキュリティ以外の更新については、Windows 11 KB5077181/KB5075941 の累積更新、ならびに Windows 10 KB5075912 の延長セキュリティ更新に関する専用記事を参照できる。

悪用が確認されている 6 件のゼロデイ脆弱性

今月の Patch Tuesday では、悪用が確認されている 6 件のゼロデイ脆弱性が修正されており、そのうち 3 件は公表済みである。Microsoft のゼロデイ定義は、公式な修正が提供される前に公表された脆弱性、または、実際に悪用されている脆弱性に基づき、分類するというものだ。

今回、修正された、悪用が確認されている 6 件のゼロデイ脆弱性は以下の通りである。

CVE-2026-21510:Windows Shell セキュリティ・バイパスの脆弱性

Microsoft が修正した、 Windows のセキュリティ・バイパスの脆弱性は、特別に細工されたリンクまたはショートカット・ファイルを開くことで発動するものであり、実環境での悪用が確認されている。

同社は、「この脆弱性を悪用するには、攻撃者がユーザーに対して悪意のあるリンクまたはショートカット・ファイルを開かせる必要がある。Windows Shell コンポーネントにおける不適切な処理を悪用することで、Windows SmartScreen や Windows Shell のセキュリティ警告を回避し、ユーザーへの警告や同意なしに攻撃者が制御するコンテンツを実行できる」と説明している。

詳細は公表されていないが、Mark of the Web (MoTW) によるセキュリティ警告を、回避できる可能性が高いとされる。

この脆弱性の発見者として、Microsoft Threat Intelligence Center (MSTIC)/Microsoft Security Response Center (MSRC)/Office Product Group Security Team/Google Threat Intelligence Group および匿名の研究者が挙げられている。

CVE-2026-21513:MSHTML Framework セキュリティ・バイパスの脆弱性

Microsoft が修正した、Windows における MSHTML セキュリティ機能バイパスの脆弱性は、実環境での悪用が確認されているものだ。

同社は、「MSHTML Framework における保護機構の不備により、未認証の攻撃者がネットワーク経由でセキュリティ機能を回避できる」と説明している。

なお、この脆弱性の悪用方法についての詳細は公開されていない。

この脆弱性も、Microsoft Threat Intelligence Center (MSTIC)/Microsoft Security Response Center (MSRC)/Office Product Group Security Team/Google Threat Intelligence Group により発見された。

CVE-2026-21514:Microsoft Word セキュリティ・バイパスの脆弱性

Microsoft が修正したのは、悪用が確認されている Microsoft Word のセキュリティ機能バイパスの脆弱性である。

同社は、「攻撃者は、悪意の Office ファイルをユーザーに送信し、それを開かせる必要がある。この更新は、Microsoft 365 および Microsoft Office における OLE 緩和策を回避する脆弱性に対処するものである。これらの緩和策は。脆弱な COM/OLE コントロールからユーザーを保護するためのものだ」と説明している。

Microsoft によると、この脆弱性による、Office のプレビュー・ペインの悪用は不可能とされている。

この脆弱性も、Microsoft Threat Intelligence Center (MSTIC)/Microsoft Security Response Center (MSRC)/Office Product Group Security Team/Google Threat Intelligence Group および匿名の研究者による発見とされている。

ーーー

詳細が公表されていないため、CVE-2026-21510/CVE-2026-21513/CVE-2026-21514 が、同一の攻撃キャンペーンで悪用されたのかどうかは不明である。

CVE-2026-21519:Desktop Window Manager 特権昇格の脆弱性

Microsoft は、Desktop Window Manager における、悪用が確認されている特権昇格の脆弱性を修正した。

同社は、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を取得できる」と警告している。ただし、悪用方法の詳細は公開されていない。

この脆弱性は、Microsoft Threat Intelligence Center (MSTIC)/Microsoft Security Response Center (MSRC) により発見された。

CVE-2026-21525:Windows Remote Access Connection Manager のサービス拒否の脆弱性

Microsoft は、Windows Remote Access Connection Manager における、悪用が確認されているサービス拒否の脆弱性を修正した。

同社は、「Windows Remote Access Connection Manager における null ポインタ参照により、未認証の攻撃者が、ローカルでサービス拒否を引き起こす可能性がある」と説明している。

なお、この脆弱性の悪用方法などについて詳細は明らかにされていない。

この脆弱性は、0patch の脆弱性研究チームによる発見とされている。

CVE-2026-21533:Windows Remote Desktop Services 特権昇格の脆弱性

Microsoft は、Windows Remote Desktop Services における特権昇格の脆弱性を修正した。

同社は、「Windows Remote Desktop における不適切な権限管理により、認証済みの攻撃者はローカルで特権を昇格できる」と説明している。

なお、この脆弱性の悪用方法などについて詳細は明らかにされていない。

この脆弱性は、CrowdStrike の Advanced Research Team により発見された。

ーーー

6 件のゼロデイ脆弱性のうち、CVE-2026-21513/CVE-2026-21510/CVE-2026-21514 は公表済みである。

他社による最近のアップデート

2026年2月には、以下のベンダーも更新やアドバイザリを公開している。

  • Adobe:Audition/After Effects/InDesign/Substance 3D/Adobe Lightroom Classic などに対するセキュリティ更新をリリースした。これらの脆弱性について、悪用の報告はない。
  • BeyondTrust:Remote Support (RS) および Privileged Remote Access (PRA) ソフトウェアにおける深刻な RCE 脆弱性に対するセキュリティ更新を公開した。
  • CISA:サポート終了に達したネットワーク・エッジ・デバイスの撤去を、連邦機関に指示する拘束力のある運用指令を発出した。
  • Cisco:Secure Web Appliance/Cisco Meeting Management などに対するセキュリティ更新をリリースした。
  • Fortinet:FortiOS/FortiSandbox に対するセキュリティ更新をリリースした。
  • Google:Android の 2 月のセキュリティ情報を公開したが、セキュリティ修正は含まれていない。
  • n8n:以前に修正された CVE-2025-68613 の RCE 脆弱性に対する、パッチの回避を許してしまう新たな脆弱性を修正した。
  • SAP:2 件の深刻な脆弱性を含む、複数製品向けの 2 月のセキュリティ更新をリリースした。

セキュリティ更新ではないが、Microsoft は Windows 11 の Insider ビルドにおいて、組み込み Sysmon 機能の展開を開始している。この機能は、多くの Windows 管理者にとって有用なものとなる。

それぞれ脆弱性の詳細な説明および、影響を受けるシステムについては、完全なレポートを参照できる。

2026年2月の Microsoft Patch Tuesday における、多数のゼロデイ脆弱性を含む更新プログラムの公開について解説する記事です。今回の更新では、CVE-2026-21510 (Windows Shell)/CVE-2026-21513 (MSHTML)/CVE-2026-21514 (Word) などにおいて、すでに悪用が確認されている 6 件のゼロデイ脆弱性が修正されました。これらは、セキュリティ警告をすり抜け、最高権限 (SYSTEM 権限) を奪取するなどの、きわめて高いリスクを伴うものです。ご利用のチームは、ご注意ください。よろしければ、Microsoft + 月例 での検索結果も、ご参照ください。