2026年2月10日(米国時間)のMicrosoft定例更新では、悪用確認済みゼロデイが6件同時に修正された。なかでもCVE-2026-21510(Windows Shell)とCVE-2026-21513(MSHTML Framework)は、いずれも「Protection Mechanism Failure(CWE-693)」として分類され、ユーザーが1回クリックしただけで警告ダイアログを実質的に無力化できる点が共通している。従来の「ユーザーが警告を見て判断する」前提を崩すため、本稿ではこの2件を“サイレント実行”型ゼロデイとして技術的に再整理し、企業の検知・対応戦略に与える影響を分析する。

2026年2月Patch Tuesdayで確認された事実

MSRCの2026年2月CVRF(ID: 2026-Feb、初回公開 2026-02-10、改訂 2026-02-18)では、Exploited:Yes の脆弱性が6件記録されている。CVE-2026-21510とCVE-2026-21513は双方とも Exploit Status が「Publicly Disclosed:Yes; Exploited:Yes; Latest Software Release:Exploitation Detected」とされ、公開時点で既に悪用が進行していたことを示す。

さらにCISA KEVでは両CVEが2026-02-10に追加され、連邦機関向けの是正期限(dueDate)は2026-03-03である。したがって、運用上は「月例パッチ」ではなく「インシデント対応タイムライン」で扱うべき対象である。

CVE-2026-21510とCVE-2026-21513の共通構造: なぜ“サイレント実行”なのか

NVDのCVSSは両者とも 8.8(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)で、形式上はUI:R(ユーザー操作必要)である。しかしMSRC FAQの記述では、攻撃者はリンク・メール添付・ダウンロード経由で悪性HTMLやLNKを開かせ、Windows ShellやMSHTMLの処理差分を悪用して「実行前プロンプト」を回避できる。

重要点は、ユーザー操作が「同意の意思決定」ではなく「コンテンツを開く通常行為」に縮退していることである。つまりクリックは必要でも、警告確認や実行許可の判断が介在しない。これが本稿でいう“サイレント実行”である。

攻撃連鎖モデル: ShellとMSHTMLの境界越えが生む検知盲点

MSRCの説明から読み取れる範囲では、CVE-2026-21513は「悪性HTMLまたはLNKがブラウザ処理とWindows Shell処理をまたぐ」ことで防御機構を回避し得る。CVE-2026-21510は「Shell側の不適切な処理」でSmartScreenやShell警告を回避し得る。両者を同一キャンペーンで組み合わせると、次のような連鎖が成立しやすい。

1) フィッシングやチャット経由でURL/LNKを配布する。
2) 被害者の単一クリックでHTML/LNKが起動する。
3) 事前警告が十分に表示されないまま初期ペイロードが実行される。
4) 追加の権限昇格・認証情報窃取・横展開フェーズへ進む。

ここでの実務上の論点は、EDRが「プロンプト回避そのもの」を直接イベント化しない場合がある点である。結果として、検知は初期実行後(子プロセス生成、異常なコマンドライン、永続化操作)に後ろ倒しになり、初動時間が伸びる。

企業向け対応戦略: “クリック抑止”から“実行経路監視”へ

この種の脆弱性に対して「怪しいリンクをクリックしない教育」だけでは不十分である。UI:Rでも警告が出ない設計破綻が前提となるため、制御点をユーザー判断から実行経路に移す必要がある。優先度は次の順である。

第一に、CVE-2026-21510/21513を含む2026年2月更新を緊急展開し、未更新端末の隔離ポリシーを定義する。第二に、LNK/HTML起点のプロセスチェーン監視(例: `explorer.exe` またはブラウザ親からの異常スクリプト実行)を高感度化する。第三に、メール・WebゲートウェイでのLNK/HTML配信制御と、実行可能コンテンツのデトネーションを標準化する。第四に、KEV期限(2026-03-03)を内部SLAの下限として運用し、72時間以内の暫定防御を必須化する。

総じて、CVE-2026-21510とCVE-2026-21513は「クリック後に防御が働く」という従来想定を崩した。2026年以降のゼロデイ対応では、ユーザー教育中心モデルから、実行連鎖のテレメトリ主導モデルへ移行できるかが分水嶺である。

FAQ

この2件はRCE脆弱性そのものなのか?

公式分類は「Security Feature Bypass(保護機構回避)」である。実務上は初期実行を成立させる足場として機能し、他の脆弱性や正規機能悪用と連鎖してRCE相当の被害に到達し得る。

UI:Rなのに“サイレント”と言える理由は何か?

UI:Rは「何らかの操作が必要」を意味するが、MSRC FAQはリンクやLNKを開かせることで警告回避が可能である点を示す。つまり操作は必要でも、警告に基づく同意判断が実質的に欠落するためである。

優先順位はCVE-2026-21510とCVE-2026-21513のどちらが先か?

運用上は同順位で扱うべきである。いずれもCVSS 8.8、Exploited:Yes、KEV登録済みであり、攻撃チェーンの入口として使われる条件が揃っているためである。

パッチ適用までの暫定策で最も効くものは何か?

LNK/HTMLの配送制御と、Shell・ブラウザ起点の子プロセス監視強化の組み合わせが有効である。ユーザー教育のみよりも、攻撃者の実行経路を機械的に制限できるためである。

参考文献