エクスプロイト&脆弱性
2026年2月 セキュリティアップデート解説:Microsoft社は61件、Adobe社は44件の脆弱性に対応
2026年2月の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年2月の第2火曜日がやってきました。Microsoft社とAdobe社が最新のセキュリティアップデートを公開しました。それぞれの最新セキュリティアラートの詳細をご確認ください。リリース全体をまとめた動画(英語)もご覧いただけます。
2026年2月Adobe社からのセキュリティアップデート
2月に入り、Adobeは9件のセキュリティ情報を公開し、Adobe Audition、After Effects、InDesign、Substance 3D Designer、Substance 3D Stager、Adobe Bridge、Substance 3D Modeler、Lightroom Classic、そしてAdobe DNG Software Development Kit(SDK)にまたがる合計44件の脆弱性に対処しました。今回の中で最も規模が大きいのはAfter Effects向けのアップデートで、「緊急」が13件、「重要」が2件と、合計15件の脆弱性を修正しています。Substance 3D Designerのパッチも比較的規模が大きく、7件の修正が含まれていますが、そのうち「緊急」は2件にとどまります。一方で、Substance 3D Stagerの修正では5件すべてが「緊急」の評価で、いずれもリモートコード実行につながる可能性がある点が目を引きます。Auditionのアップデートでは6件の脆弱性が修正されていますが、「緊急」に分類されているのはそのうち1件のみです。
そのほかの製品向けアップデートは規模としてはやや小さめです。Adobe DNG Software Development Kit(SDK)では「緊急」が2件、「重要」が2件、計4件の脆弱性が修正されました。InDesignでは3件の修正が行われていますが、「緊急」は1件です。Adobe Bridgeのアップデートでは、リモートコード実行につながる可能性のある「緊急」な脆弱性が2件修正されています。Lightroom Classicは「緊急」が1件のみの対応となり、最後にSubstance 3D Modelerでは「重要」の評価のメモリリークが1件修正されて、今月のリリースは締めくくられています。
なお、今月Adobeが修正した脆弱性の中に、公開時点で既に広く知られていたものや、実際に悪用が確認されているものは含まれていません。また、今月公開されたすべてのアップデートは、いずれも展開優先度3と位置付けられています。
2026年2月Microsoft社からのセキュリティアップデート
今月、MicrosoftはWindowsおよびWindowsコンポーネント、OfficeおよびOffice関連コンポーネント、Azure、Microsoft Edge(Chromiumベース)、.NETおよびVisual Studio、GitHub Copilot、Mailslot FS、Exchange Server、Internet Explorer、Power BI、Hyper-V Server、そしてWindows Subsystem for Linuxにわたって、新たに58件の脆弱性を公開しました。さらに、リリース情報に含まれているサードパーティ製品およびChromium関連の更新分を含めると、脆弱性の総数は61件に達します。Windows Graphicsコンポーネントに関する脆弱性のうち1件は、ZDIプログラムを通じて報告されたものです。深刻度の内訳を見ると、「緊急」が5件、「警告」が2件、残りは「重要」と評価されています。
2月にこれくらいの件数の脆弱性が公開されるのは、例年それほど珍しいことではありません。ただし、実際に攻撃で悪用されている脆弱性の数は、今回は際立って多い印象です。Microsoftによれば、公開時点で6件が既に悪用されており、そのうち3件は一般にも知られている状態でした。先月は、修正された脆弱性の数自体は今回のほぼ倍だったにもかかわらず、悪用が確認されていたのは1件だけでした。このまま、数年前に見られたように攻撃コードが相次いで公開され、活発に悪用される状況へと向かっていくのか、それとも今回だけの一時的な偏りなのか、今後の動向を見ていく必要がありそうです。
それでは今月の更新の中から、特に注目すべきものをいくつか取り上げていきます。まずは、実際に悪用が確認されている脆弱性から見ていきましょう。
CVE-2026-21510 - Windows Shell セキュリティ機能バイパスの脆弱性
この脆弱性はセキュリティ機能のバイパスとして分類されていますが、実質的にはリモートコード実行に近い性質を持っています。攻撃者はWindows SmartScreenやWindows Shellのセキュリティプロンプトを回避し、標的のシステム上でコードを実行できてしまいます。この脆弱性は「公開情報あり」とされていますが、Microsoftは具体的にどこで公知となっているのかは明らかにしていません。ユーザ操作は必要で、リンクやショートカットファイルをクリックすることが条件になります。それでも、ワンクリックでリモートコード実行に至るタイプの脆弱性はそう多くはありません。優先的に検証し、迅速に展開すべき修正です。
CVE-2026-21514 - Microsoft Word セキュリティ機能バイパスの脆弱性
こちらもユーザ操作が前提で、Word文書を開く必要がありますが、それだけで危険なCOM/OLEコントロールへの保護を回避できてしまいます。幸いなことに、プレビューウィンドウが攻撃経路になるわけではありません。ただし、ユーザがメールで受け取った多数の文書を日常的に開いていることを考えると、安心はできません。このバイパスは、適切なCOM/OLEコントロールに到達した場合、リモートコード実行につながる可能性もあります。この脆弱性も公知とされているため、優先的に検証と展開を進める対象に加えるべきでしょう。
CVE-2026-21519 - Desktop Window Manager 特権昇格の脆弱性
Desktop Window Managerに関する脆弱性が実際に悪用されているとして報告されるのは、これで2か月連続になります。そうなると、前回のパッチでは脆弱性が完全には解消されていなかったのではないかと考えたくなります。今回も前月と同様、攻撃者がSYSTEM特権でコードを実行できるようになります。この種の脆弱性は、通常は別のリモートコード実行の脆弱性と組み合わせて利用され、最終的にシステム全体を掌握するために使われます。いつものことですが、これらのエクスプロイトがどの程度広がっているのかについて、Microsoftは具体的な情報を示していません。
CVE-2026-21533 - Windows Remote Desktop Services 特権昇格の脆弱性
タイトルに「Remote」とありますが、惑わされてはいけません。これはローカルの脆弱性であり、攻撃者がSYSTEM特権でコードを実行できるようになります。Microsoftはこの問題の原因を「不適切な特権管理」と説明していますが、その点も興味深いところです。もし対象システムでRemote Desktop Servicesが動作しているのであれば、侵入後に横方向へ展開する足がかりとして、攻撃者にとって魅力的な標的になる可能性があります。この修正も、直ちに検証および展開すべきパッチの一つに加えてください。
CVE-2026-21513 - Internet Explorer セキュリティ機能バイパスの脆弱性
多くの観点から見て既に役目を終えた存在と言えるInternet Explorerですが、Windows上にはいまだに残っており、呼び出せてしまう限り脆弱性は発生します。この脆弱性は、先ほどのShellの問題と似た挙動を示し、ユーザ操作を必要とするものの、結果としてリモートコード実行につながる可能性があります。今回のバイパスは、本来アクセスできないはずのIEに到達できてしまう点そのものにあります。ここでもやはり、迅速な検証と展開が求められます。
CVE-2026-21525 - Windows Remote Access Connection Manager サービス拒否の脆弱性
サービス拒否(DoS)の脆弱性が実際の攻撃で使われるのはあまり一般的ではありませんが、今回はそのケースに該当します。Windows Remote Access Connection Managerにおけるヌルポインタ参照により、認証されていない攻撃者がローカルでサービス拒否を引き起こすことが可能です。多くの場合、ヌルポインタ参照はアプリケーションやサービスのクラッシュにつながりますが、自動的に再起動するのかどうかは明確ではありません。いずれにしても慎重に対応し、速やかにパッチを適用することを強く勧めます。
その他の脆弱性
次にその他の「緊急」評価の脆弱性に目を向けてみます。Azure Front Door向けのパッチは一見すると非常に深刻に見えますが、実際にはMicrosoftが既に修正を完了しており、今回あらためて文書化したものです。同じことはAzure ArcおよびAzure Functionの脆弱性にも当てはまります。ACI Confidential Containersには「緊急」の評価の脆弱性が2件あり、1つはコンテナからのエスケープを可能にし、もう1つはシークレットトークンや鍵情報を漏洩させます。いずれにしても、優先的に対処すべき内容であることに変わりはありません。
リモートコード実行関連
今月公開されたそのほかのリモートコード実行の脆弱性を見ていくと、まず目に入るのはAzure SDK for Pythonの脆弱性です。今月の中で最も高いCVSS 9.8が付けられており、悪意のある継続用トークンを細工することで、リモートかつ認証不要の攻撃者が影響を受けるシステム上でコードを実行できてしまいます。なぜ「緊急」に分類されていないのかははっきりしませんが、実質的には「緊急」相当として扱うべきでしょう。Hyper-Vの3件の脆弱性は、一見リモートのように見えても実際にはローカルで、ユーザが悪意のあるファイルを開くことで成立するタイプのいわゆる「open-and-own」の脆弱性です。Notepadの脆弱性も同様です。Power BIの脆弱性は少し分かりづらく、Microsoftによれば認証が必要で、認証済みユーザとしてコードを実行される可能性があるとのことです。
「Azure Local Remote Code Execution Vulnerability」という名前もやや紛らわしいですが、実際には中間者攻撃、いわゆるMitMが前提になります。Defender for Endpoint Linuxの脆弱性はローカルサブネット内に限定されますが、パッチを適用するには自動プロビジョニングを有効にする必要があります。今月最後に挙げられているリモートコード実行の脆弱性はGitHub Copilotに関するもので、2件はコマンドインジェクション、もう1件は「Time-of-check time-of-use(toctou)」という競合状態ですが、いずれも影響を受けるシステム上で最終的にリモートコード実行へとつながる可能性があります。
特権昇格関連
特権昇格のパッチは今回のリリース全体のほぼ半分を占めていますが、その多くはローカルの攻撃者がSYSTEM特権や管理者権限でコードを実行できるようになるという類型です。特に注目すべきものは2件あります。1つはGitHub Copilotにおけるコマンドインジェクションで、標的となるアプリケーションの権限レベルでコードが実行されます。もう1つはカーネルに関する脆弱性で、SYSTEM権限の取得につながるだけでなく、サンドボックスからの脱出にも利用される可能性があります。
なりすまし関連
今月のリリースでは、なりすましに分類される脆弱性が例年になく多く、その中でもOutlook関連のものが特に気になります。まず問題なのは、プレビューペイン自体が攻撃経路になる点です。さらに、これらの脆弱性はメールを受信するだけでNTLM認証情報をリレーさせることが可能で、結果として認証情報の漏洩につながるおそれがあります。そして厄介なのは、これらを完全に解消するには複数のパッチを適用する必要があることです。幸い、適用順序は問われません。Exchange ServerにはUIの誤表示に関する脆弱性があり、攻撃者が機微な情報を閲覧できる、あるいは「開示された情報に変更を加える」ことが可能と説明されています。いったいどの時点でデータは「開示された」と見なされるのでしょうか。この少し奇妙な言い回しを見ると、説明文の一部をAIが書いているのではないかと思ってしまいます。
同じ表現はNTLMのパッチにも見られます。その脆弱性は細工されたOffice文書を開くことで発生し、明確にはNTLM認証情報のリレーに使われるとは書かれていませんが、どう見てもその可能性が高いように思えます。.NETおよびVisual Studio向けのパッチでは、ヘッダー検証を回避できてしまう脆弱性が修正されており、本来拒否すべきメッセージをサービスが受け入れてしまう問題が解消されています。
クロスサイトスクリプティング関連
Azure HDInsightの脆弱性は実質的にはクロスサイトスクリプティング関連です。ただし、この修正を有効にするには両方のヘッドノードでAmbariサーバーを再起動する必要があります。Azure DevOps ServerにもXSSが存在しますが、少なくともこちらは明確にそのようにラベル付けされています。
セキュリティ機能バイパス関連
追加で触れておきたいセキュリティ機能バイパスの脆弱性がいくつかあります。1つはHyper-Vに関するもので、Virtualization-based Security機能を回避できます。もう1つはGitHub CopilotとVisual Studio Codeに関連するもので、こちらもコマンドインジェクションですが、今回は認証を回避するために利用できる点が特徴です。なかなか巧妙です。
情報漏洩関連
今月修正された残りの情報漏洩の脆弱性を見ると、その多くは未指定のメモリ内容やメモリアドレスが漏れるといった、いわば典型的な情報漏洩です。例外と言えるのがAzure IoT Explorerの脆弱性で、これは標的ユーザのローカルファイルシステムの内容を閲覧できる可能性があります。
サービス拒否(DoS攻撃)関連
今月のリリースは、LDAPとGDI+に関する2件のサービス拒否、いわゆるDoSの脆弱性で締めくくられています。いずれについても、Microsoftの説明から実用的な情報はほとんど得られません。
なお、今月は新たなアドバイザリの公開はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは2026年3月10日です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2026年2月発表の全リスト
2026年2月にMicrosoft社が発表した脆弱性(CVE)の全リストはこちらご参照ください。
参考記事:
The February 2026 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)