CISA KEV 警告 26/02/10:Microsoft Office/Windows の複数の脆弱性を登録

U.S. CISA adds Microsoft Office and Microsoft Windows flaws to its Known Exploited Vulnerabilities catalog

2026/02/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office および Microsoft Windows の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。今回カタログに追加された脆弱性は、いずれも February 2026 Patch Tuesday でゼロデイとして公開されたものである。

CISAの KEV に登録されたのは、以下の 6 件である。

  • CVE-2026-21510Windows Shell 保護メカニズムの不具合/失敗によりセキュリティ機能が適切に動作しない脆弱性
  • CVE-2026-21513Microsoft MSHTML フレームワークにおけるセキュリティ機能バイパスの脆弱性
  • CVE-2026-21514Microsoft Office Word において、セキュリティ判断に信頼できない入力を使用する脆弱性
  • CVE-2026-21519Microsoft Windows におけるタイプ・コンフュージョンの脆弱性
  • CVE-2026-21525Microsoft Windows における NULL ポインタ参照の脆弱性
  • CVE-2026-21533Windows Remote Desktop Services における権限昇格の脆弱性 

今週に公開された 2026年2月の Microsoft 定例セキュリティ更新 (Patch Tuesday) において、Windows/Office/Azure/Edge/Exchange/Hyper-V/WSL など複数コンポーネントにおける 58 件の新たな脆弱性が修正された。サードパーティー更新を含めると、修正された CVE は合計 62 件に上る。今月に修正された脆弱性のうち 6 件は、実際の攻撃で悪用されており、そのうち 3 件は既に情報が公開されているものである。

以下は、Microsoft が修正し、CISA が KEV カタログに追加した脆弱性の概要である。

  • CVE-2026-21510 (CVSS:7.5 High):Windows SmartScreen および Shell プロンプトのバイパスの脆弱性である。攻撃者が細工した悪意あるリンクやショートカット・ファイルをユーザーに開かせることで、セキュリティ警告を回避できる。
  • CVE-2026-21513 (CVSS:8.8 High):Internet Explorer (MSHTML) のセキュリティ制御バイパスの脆弱性である。被害者が悪意ある HTML ページまたは LNK ファイルを開くことで、コード実行につながる可能性がある。
  • CVE-2026-21514 (CVSS:8.1 High):Microsoft 365 および Office における OLE セキュリティ緩和策バイパスの脆弱性である。特別に細工された Office 文書を開くことで、悪意の活動や操作が可能となる。
  • CVE-2026-21519 (CVSS:7.8 High):Windows Desktop Window Manager のタイプ・コンフュージョンの脆弱性であり、ローカル環境での権限昇格が可能となり、SYSTEM 権限の取得につながる。
  • CVE-2026-21525 (CVSS:6.5 Medium):Windows Remote Access Connection Manager における NULL ポインタ参照の脆弱性である。ローカル攻撃者によりサービス拒否 (DoS) 状態が引き起こされる可能性がある。
  • CVE-2026-21533 (CVSS:8.8 High):Windows Remote Desktop Services の権限昇格の脆弱性であり、攻撃者に SYSTEM 権限への昇格を許す。

Microsoft は CVE-2026-21510/CVE-2026-21514/CVE-2026-21513 を “公開済み” と分類している。CVE-2026-21510/CVE-2026-21514 は Google Threat Intelligence Group、Microsoft の内部セキュリティ・チームと匿名の研究者により発見された。CVE-2026-21513 は Microsoft と Google Threat Intelligence Group により報告された。

Binding Operational Directive (BOD) 22-01:”既知の悪用されている脆弱性による重大リスクの低減” に基づき、Federal Civilian Executive Branch (FCEB) 機関は指定期限までに、これらの脆弱性へ対処し、ネットワークを保護する必要がある。CISA は FCEB 機関に対し、2026年3月3日までに、これらの脆弱性を修正するよう命じている。

また、専門家たちは民間組織に対しても、KEV カタログを確認し、自組織のインフラにおける該当脆弱性へ速やかな対処を推奨している。

Microsoft Office/Windowsにおいて、すでに実際の攻撃で悪用されていることが確認された、複数の深刻な脆弱性が CISAの KEV にも登録されました。一連の問題の原因は、Windows の保護機能 (SmartScreen)/Office の文書処理/システム内部のメモリ管理において、外部からの入力を正しく検証できなかったり、動作の不整合が発生したりすることにあります。これにより、攻撃者が作成した悪意のあるリンクや文書ファイルを開くだけで、セキュリティ警告が無視されたり、一般ユーザーが最高管理者の SYSTEM 権限を奪取されたりする不備が生じています。ご利用のチームは、ご注意ください。よろしければ、2026/02/10 の「Microsoft 2026-02 月例アップデート:6 件のゼロデイを含む 58 件の脆弱性に対応」を、ご参照ください。