法律の視点から分析する。2026年2月10日、MicrosoftはPatch Tuesdayにおいて約60件のCVEを修正し、そのうち6件がすでに野生環境で悪用されているゼロデイ脆弱性であった。CISAは即日、6件すべてをKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦民間行政機関(FCEB)に対して2026年3月3日までの是正を義務づけた。本記事では、パッチ公開後わずか4日間で7件がKEV入りするという前例のない攻撃加速を、法的義務・善管注意義務・規制コンプライアンスの観点から解析する。
6件のゼロデイ一覧と法的リスク分類
今回修正された6件のゼロデイは、攻撃手法と法的影響の観点から3つのカテゴリに分類できる。
| CVE | 対象 | 種別 | CVSS | 法的リスク区分 |
|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell | セキュリティ機能バイパス | 8.8 | 個人情報漏洩リスク(高) |
| CVE-2026-21513 | MSHTML Framework | セキュリティ機能バイパス | 8.8 | 個人情報漏洩リスク(高) |
| CVE-2026-21514 | Microsoft Word | セキュリティ機能バイパス | — | 業務文書窃取リスク |
| CVE-2026-21519 | Desktop Window Manager | 特権昇格(型混同) | 7.8 | SYSTEM権限奪取 |
| CVE-2026-21525 | Remote Access Connection Manager | DoS(NULLポインタ参照) | 6.2 | 業務継続性阻害 |
| CVE-2026-21533 | Remote Desktop Services | 特権昇格(不適切な権限管理) | 7.8 | 横展開・管理者権限奪取 |
法的観点で最も重大なのは、CVE-2026-21510とCVE-2026-21513の組み合わせである。この2件はともにCVSS 8.8と高スコアであり、ユーザーがリンクまたは.lnkファイルをクリックするだけでSmartScreenやWindows Shellの警告をバイパスし、攻撃者制御のコンテンツを無警告で実行できる。EU一般データ保護規則(GDPR)第32条が求める「適切な技術的措置」の観点からは、パッチ適用の遅延がそのまま「措置の不備」と認定されるリスクを孕む。
CVE-2026-21533の法的含意 ── 45日間の潜伏と善管注意義務
CVE-2026-21533は、Windows Remote Desktop Services(RDS)における不適切な権限管理の脆弱性である。CrowdStrikeの事後調査により、少なくとも2025年12月24日から米国およびカナダの組織を標的とした攻撃に使用されていたことが判明した。つまり、パッチ公開の約45日前から野生環境で悪用されていたことになる。
攻撃手法は精巧である。攻撃者は低権限のローカルアクセスを取得した後、RDSのサービス構成レジストリキーを改竄し、攻撃者制御のキーに置換する。これにより新規ユーザーをAdministratorsグループに追加し、SYSTEM権限を掌握する。RDP環境でのポストエクスプロイテーションに最適化された手法であり、企業のリモートワークインフラを直撃する。
法的に問題となるのは、この45日間の「検知不能期間」である。米国の判例法では、Dittman v. UPMC(2018年、ペンシルバニア州最高裁)において雇用主の個人情報保護に関する注意義務が認められている。パッチ未公開の状態での攻撃は「予見不可能」と抗弁しうるが、パッチ公開後の放置は善管注意義務違反として過失認定される可能性が高い。脆弱性診断の実務経験から言えば、マルチプラットフォーム環境では各プラットフォーム固有の攻撃面を個別に理解する必要がある。RDP環境特有のレジストリ操作という攻撃ベクトルは、一般的なエンドポイント対策では検知しづらい性質を持っている。
BOD 22-01とKEVカタログの法的拘束力
CISAのBinding Operational Directive(BOD)22-01は、KEVカタログに掲載された脆弱性の是正を連邦民間行政機関に義務づける法的拘束力を持つ指令である。今回の6件については、2026年3月3日が是正期限として設定された。
BOD 22-01の法的構造は以下のとおりである。
- 適用範囲: FCEB機関に対する法的義務。民間企業への直接的拘束力はない
- 不遵守の帰結: 監査指摘、予算措置への影響、OMB(行政管理予算局)による是正命令
- 間接的影響: 連邦政府契約(FAR/DFARS条項)に基づく請負業者への波及効果
民間企業にとって重要なのは、BOD 22-01が直接適用されなくても、KEVカタログ掲載が事実上の「業界標準」として裁判における過失認定の基準になりつつある点である。Jones Day法律事務所のDuquesne Law Review論文(2021年)が指摘するとおり、パッチ管理に関する法的リスクは「既知の脆弱性を放置したか否か」が中核的な判断基準となる。KEVカタログは、まさにその「既知」の認定を公的に行うメカニズムである。
攻撃チェーンと法的因果関係の立証
今回の6件のゼロデイが法的に特異なのは、連鎖攻撃(exploit chain)を構成する点である。Tenableの分析によれば、CVE-2026-21510(Shell バイパス)→ CVE-2026-21513(MSHTMLバイパス)→ CVE-2026-21519(DWM特権昇格)という攻撃経路が実際に観測されている。バイパス脆弱性でサンドボックスや認証の障壁を無効化し、次段の権限昇格エクスプロイトで完全制御を実現する手法である。
不法行為法における因果関係の立証では、「特定のパッチを適用していれば被害は防げたか」が争点となる。連鎖攻撃の場合、チェーンの一環を断ち切るだけで攻撃全体が成立しなくなるため、任意の1件のパッチ適用と被害防止の因果関係が比較的明確に立証できる。これは被害企業にとっての訴訟リスクを高める要因である。
インシデント対応の最前線で学んだ教訓として、1秒の判断遅れが被害範囲を指数関数的に拡大させる。まして45日間もの潜伏期間を持つ攻撃では、初動のパッチ適用速度が法的責任の分水嶺となる。パニック下でも機能する手順書は、平時に何度もドライランして初めて完成するものであり、事後のポストモーテムこそが組織のセキュリティ成熟度を上げる最大の機会となる。
日本法における法的影響と実務対応
日本の法規制においても、今回のゼロデイ悪用は複数の法的義務に抵触する可能性がある。
個人情報保護法(令和4年改正施行)では、第23条が安全管理措置を義務づけている。個人情報保護委員会のガイドラインは「技術的安全管理措置」として、脆弱性への対応を明示的に求めている。KEVカタログに掲載された既知のゼロデイを放置した結果、個人データが漏洩した場合、安全管理措置義務違反として行政処分の対象となりうる。
不正アクセス禁止法との関係では、パッチ未適用のシステムへの不正アクセスは同法第3条違反として攻撃者の刑事責任を構成する。一方、管理者側のアクセス管理義務(第8条)違反も問われる可能性がある。CVE-2026-21533のようなRDP経由の特権昇格は、リモートアクセス管理の不備として第8条の「識別符号の適正管理」義務との関連が争点となりうる。
会社法第362条第4項に基づく内部統制システムの構築義務の観点からは、取締役は「損失の危険の管理に関する体制」の整備義務を負う。既知のゼロデイ脆弱性の放置が善管注意義務(会社法第330条、民法第644条)違反として株主代表訴訟の対象となる可能性は、サイバーセキュリティ経営ガイドライン(経済産業省、Ver 3.0)の普及とともに年々高まっている。
パッチ公開4日で7件KEV入り ── 攻撃加速が変える法的義務の時間軸
今回のPatch Tuesdayで最も注目すべきは、パッチ公開から4日以内に7件の脆弱性がCISA KEVカタログに追加されたという事実である。従来の「パッチ公開→概念実証(PoC)公開→攻撃開始」というタイムラインは、もはや過去のモデルとなった。攻撃者はパッチ公開前から脆弱性を発見・悪用し、パッチが公開されればリバースエンジニアリングによって攻撃コードを即座に量産する。
この攻撃加速は、法的義務の時間軸を根本的に変える。Gramm-Leach-Bliley Act(GLBA)やHIPAAが求める「合理的なセキュリティ措置」の解釈において、「パッチ公開から30日以内の適用」というかつての業界慣行は、もはや「合理的」とは言い難い。PCI DSS 4.0が「重要なパッチは公開後1ヶ月以内」と規定しているのに対し、実際の攻撃は公開前から始まっている。この乖離は、規制基準と攻撃現実のギャップとして訴訟においてどちらの基準が採用されるかという問題を提起する。
セキュリティ戦略は、ビジネスの制約を理解した上でないと絵に描いた餅になる。しかし法律的観点からは、ビジネス上の制約は免責事由にならない。裁判所が「予見可能性」を判断する際に参照するのは、業界のベストプラクティスであり、個社の事情ではないからである。
FAQ
CVE-2026-21533のパッチを適用しないとどのような法的責任が生じるか?
KEVカタログ掲載後にパッチを放置し情報漏洩が発生した場合、善管注意義務違反として損害賠償責任を負う可能性がある。日本法では個人情報保護法の安全管理措置義務違反、米国法では州データ侵害通知法に基づく集団訴訟のリスクが生じる。
民間企業にもCISA BOD 22-01の法的拘束力はあるか?
直接的な法的拘束力はない。ただし、KEVカタログは裁判における「既知の脆弱性」の認定基準として事実上の業界標準となりつつあり、パッチ未適用の過失認定に間接的に影響する。連邦政府の請負業者はFAR/DFARS条項を通じた間接的義務を負う。
パッチ適用までに何日以内が法的に「合理的」とされるか?
統一的な基準はないが、PCI DSS 4.0は重要パッチに1ヶ月以内を規定する。ただし今回のように公開前から悪用されている場合、即日適用が事実上の合理的基準となりうる。FTC法第5条の「不公正な商行為」判断では、業界標準よりも厳格な基準が適用された判例がある。
連鎖攻撃の場合、6件すべてのパッチを適用する法的義務があるか?
攻撃チェーンの1件でも断ち切れば攻撃全体が成立しないため、全件適用は法的に厳密には必須ではない。しかし選択的パッチ適用は、残存リスクを認識しながら放置したとして故意に近い過失(重過失)認定のリスクを高める。実務上は全件適用が推奨される。
参考文献
- Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws — BleepingComputer, 2026年2月10日
- February 2026 Microsoft Patch Tuesday — Tenable, 2026年2月10日
- Windows Remote Desktop Services 0-Day Vulnerability Exploited in the Wild — Cyber Security News, 2026年2月11日
- February 2026 Patch Tuesday: Updates and Analysis — CrowdStrike, 2026年2月
- CISA Adds Six Known Exploited Vulnerabilities to Catalog — CISA, 2026年2月10日
- Legal Risks in Patch and Vulnerability Management — Jones Day / Duquesne Law Review, 2021年
- Patch Tuesday, February 2026 Edition — Krebs on Security, 2026年2月
