2026年2月のMicrosoft Patch Tuesdayは、6つのゼロデイ脆弱性を修正する異例の緊急対応となった。その中でも最も警戒すべきは、CVE-2026-21510(Windows SmartScreenバイパス)とCVE-2026-21533(RDS特権昇格)を連鎖させた攻撃チェーンである。この二段階攻撃は、ワンクリックでの初期侵入からSYSTEM権限の取得まで、完全な環境掌握を可能にする。本記事では、両脆弱性の技術的メカニズム、実際の攻撃フロー、そして組織が講じるべき多層的防御設計を詳述する。

CVE-2026-21510: SmartScreen防御網の構造的欠陥

CVE-2026-21510は、Windows Shellのセキュリティプロンプト機構を完全に迂回するCVSS 8.8の重大な脆弱性である。Microsoftが2026年2月10日に公開したセキュリティアドバイザリによれば、攻撃者が悪意あるリンクまたはショートカットファイル(.LNK)を開かせることで、SmartScreenによる警告ダイアログを表示せずにペイロードを実行できる。

この脆弱性の本質は、Windows Shellがファイルの信頼性を判定する際に、特定の条件下でMark-of-the-Web(MotW)属性を正しく検証しない点にある。通常、インターネットからダウンロードされたファイルにはMotW代替データストリームが付与され、SmartScreenはこれを基に警告を表示する。しかし、CVE-2026-21510を悪用すると、攻撃者は細工したショートカットファイルを通じてこの検証プロセスを回避できる。

Googleの脅威分析グループ(TAG)は、この脆弱性が「広範かつ活発に悪用されている」と確認し、ランサムウェアやインフォスティーラーの展開に利用されていると報告した。特に注目すべきは、ユーザーに「このファイルを開きますか?」という確認ダイアログを一切表示せずにマルウェアを実行できる点である。これは、セキュリティ意識の高いユーザーであっても防ぐことが困難な攻撃ベクトルとなる。

CVE-2026-21533: RDSレジストリ改竄による権限昇格

CVE-2026-21533は、Windows Remote Desktop Services(RDS)における不適切な特権管理の脆弱性である。CrowdStrikeの高度リサーチチームが発見したこの欠陥は、認証済みの低権限ユーザーがSYSTEMレベルまで権限を昇格できる致命的な問題を抱える。

CrowdStrikeのCounter Adversary Operations責任者Adam Meyers氏は、「CVE-2026-21533のエクスプロイトバイナリは、サービス設定キーを改竄し、攻撃者が制御するキーに置き換える。これにより、敵対者はAdministratorグループに新規ユーザーを追加する権限昇格が可能になる」と説明している。

技術的には、この脆弱性は以下のレジストリパスに対する不適切なアクセス制御に起因する:

  • HKLM\SYSTEM\CurrentControlSet\Services\TermService
  • HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server

攻撃者は、RDSサービスの設定値を書き換えることで、サービス起動時に任意のコマンドを実行できる。この手法は、サービスの再起動や特定のRDS機能のトリガーによって発動し、低権限ユーザーがSYSTEM権限で任意のペイロードを実行できるようになる。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2026-21533を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対して2026年3月3日までに修正するか、影響を受ける製品の使用を中止するよう義務付けた。

連鎖攻撃のキルチェーン: 2段階完全掌握

CVE-2026-21510とCVE-2026-21533を組み合わせた攻撃は、以下のフェーズで構成される精密なキルチェーンを形成する:

フェーズ1: 無音侵入(CVE-2026-21510)

  1. 攻撃者は、標的に対してフィッシングメールやソーシャルエンジニアリングを通じて悪意あるショートカットファイル(.LNK)を配布する。
  2. 被害者がファイルをクリックすると、SmartScreen警告が表示されずにペイロードが実行される。
  3. 初段ペイロードは、低権限のユーザーコンテキストでマルウェアをドロップし、永続化機構を確立する。

フェーズ2: 権限昇格とラテラルムーブメント(CVE-2026-21533)

  1. 侵入後、攻撃者はCVE-2026-21533のエクスプロイトを実行し、RDSサービスのレジストリキーを改竄する。
  2. サービス再起動またはRDS機能のトリガーにより、攻撃者のペイロードがSYSTEM権限で実行される。
  3. SYSTEM権限を取得した攻撃者は、Administratorグループへのユーザー追加、ドメイン管理者資格情報のダンプ、横展開の準備を行う。

この攻撃チェーンの危険性は、ユーザーの単一のクリックから始まり、数分以内に環境の完全な掌握に至る点にある。特に、RDSが有効化されているWindows Server環境では、この連鎖攻撃が横展開の起点となりうる。

影響範囲と脅威アクターの動向

CVE-2026-21510とCVE-2026-21533は、以下のWindows環境に影響を与える:

CVE-2026-21510の影響範囲:

  • Windows 11(全バージョン、25H2および26H1を含む)
  • Windows 10(1607/1809/21H2/22H2)
  • Windows Server 2025/2022/2019/2016/2012/2012 R2

CVE-2026-21533の影響範囲:

  • RDSが有効化されたWindows Server全バージョン
  • Windows 10およびWindows 11(RDS機能が有効な場合)

CrowdStrikeのAdam Meyers氏は、「エクスプロイトバイナリを保有する脅威アクターは、近い将来、CVE-2026-21533の使用または販売を加速させる可能性が高い」と警告している。現時点では特定のAPTグループへの帰属は確認されていないが、RDSシステムはラテラルムーブメントの主要なターゲットであり、国家支援型攻撃者やランサムウェアオペレーターによる悪用が予想される。

また、GitHubには既に3つの公開されたPoC(概念実証)エクスプロイトが存在し、脅威のコモディティ化が進行している。これにより、高度な技術力を持たない攻撃者でも、これらの脆弱性を悪用できる環境が整いつつある。

多層的防御設計と緩和策

CVE-2026-21510およびCVE-2026-21533に対する防御は、パッチ適用を基盤とした多層的アプローチが必要である。

即座に実施すべき対策:

  1. 緊急パッチ適用 — Microsoftの2026年2月Patch Tuesdayアップデートを優先的に展開する。特にインターネットに面したシステムおよびRDSを実行するサーバーを優先する。
  2. SmartScreen強制 — グループポリシーを通じて、SmartScreenを「警告して実行を防ぐ」モードに設定し、ユーザーによるバイパスを禁止する。
  3. RDS監視強化 — 以下のレジストリキーに対する異常な変更を検出するSIEMルールを実装する:
    • HKLM\SYSTEM\CurrentControlSet\Services\TermService
    • HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
  4. 最小権限の原則 — RDSアクセスを必要最小限のユーザーに制限し、不要なRDS機能を無効化する。

中期的な防御強化:

  1. アプリケーション制御 — Windows Defender Application Control(WDAC)またはAppLockerを導入し、未署名または信頼されていない実行ファイルのブロックを徹底する。
  2. Attack Surface Reduction(ASR)ルール — Microsoft Defenderの「Office製品による子プロセスの作成をブロック」および「実行可能コンテンツの取得と実行をブロック」ルールを有効化する。
  3. ネットワークセグメンテーション — RDSサーバーを専用VLANに隔離し、ゼロトラストアーキテクチャを通じたアクセス制御を実装する。
  4. エンドポイント検出応答(EDR) — レジストリ改竄、異常なサービス起動、SYSTEM権限での予期しないプロセス実行を検出する行動分析を強化する。

検出シグネチャ例:

# Splunk query for CVE-2026-21533 detection
index=windows sourcetype=WinEventLog:Security EventCode=4657
| where Object_Name LIKE "%TermService%"
| where Process_Name != "services.exe" AND Process_Name != "svchost.exe"
| stats count by Computer, Process_Name, Object_Name, User

# Sigma rule for registry modification
detection:
  selection:
    EventID: 13
    TargetObject|contains:
      - '\Services\TermService\'
      - '\Terminal Server\'
  filter:
    Image|endswith:
      - '\services.exe'
      - '\svchost.exe'
  condition: selection and not filter

ゼロデイ6連発が示すWindows防御の構造的課題

2026年2月Patch Tuesdayで修正された6つのゼロデイは、単なる偶発的なバグの集積ではない。これらは、Windowsのセキュリティアーキテクチャにおける根本的な設計課題を浮き彫りにする。

特にCVE-2026-21510が示すのは、「ユーザーの同意に基づくセキュリティ」モデルの限界である。SmartScreenやUACは、ユーザーが適切な判断を下すことを前提としているが、これらの機構自体にバイパス可能な欠陥が存在する場合、防御層全体が無効化される。

また、CVE-2026-21533が示すRDSの特権管理の脆弱性は、レガシーサービスのモダナイゼーションの遅れを象徴する。RDSは1990年代からの技術基盤を引きずっており、現代のゼロトラスト原則に適合していない。攻撃者はこの技術的負債を熟知しており、継続的にRDSを横展開の足がかりとして悪用している。

今後、組織はパッチ適用だけでなく、アーキテクチャレベルでの防御設計の見直しが求められる。具体的には、特権アクセス管理(PAM)の導入、Just-In-Time(JIT)管理アクセス、EDRによる継続的監視といった、攻撃者の横展開を構造的に阻止する仕組みの実装が不可欠となる。

FAQ

CVE-2026-21510はパッチ適用後も悪用可能ですか?

いいえ。Microsoftの2026年2月Patch Tuesdayアップデートを適用すれば、CVE-2026-21510の脆弱性は修正されます。ただし、パッチ適用前にシステムが侵害されていた場合、攻撃者が既に永続化機構を確立している可能性があるため、侵害の痕跡を調査する必要があります。

RDSを無効化できない環境ではどのような対策が有効ですか?

RDSが業務上必須の場合、以下の緩和策を実施してください:(1)RDSアクセスを多要素認証(MFA)で保護する、(2)ネットワークレベル認証(NLA)を強制する、(3)RDS Gateway経由のアクセスに限定し、直接のRDP接続を禁止する、(4)レジストリ監視ツールを導入し、TermServiceキーへの異常なアクセスを検出する。

これらのゼロデイ攻撃の被害を受けたかどうかを確認する方法は?

以下の痕跡を調査してください:(1)SmartScreen警告なしで実行された.LNKファイルの存在(Windows Defenderログから確認)、(2)TermServiceレジストリキーの改竄履歴(Event ID 4657で検出)、(3)予期しない新規ローカル管理者アカウントの作成、(4)SYSTEM権限での異常なプロセス実行。EDRまたはSIEMログから過去30日分のイベントを遡及分析することを推奨します。

CVE-2026-21510とCVE-2026-21533を連鎖させた攻撃は実際に観測されていますか?

現時点では、両脆弱性を明示的に組み合わせた攻撃の公開報告はありませんが、どちらも個別に活発に悪用されています。CrowdStrikeやGoogleの脅威分析チームは、これらの脆弱性が野生で exploitedされていることを確認しており、技術的には連鎖攻撃が可能であるため、高度な攻撃者による統合的な悪用が予想されます。

CISA KEVカタログに追加されたことの実務的な意味は何ですか?

CISAのKnown Exploited Vulnerabilities(KEV)カタログへの追加は、米国連邦機関に対して指定期日までの修正を法的に義務付けるものです。民間組織には直接的な強制力はありませんが、KEV追加は「野生で活発に悪用されている」ことの公式確認であり、パッチ適用の優先度を最高レベルに引き上げる指標となります。サイバー保険の査定でも、KEV脆弱性の未修正は重大なリスク要因として評価されます。

参考文献