Microsoftは2026年2月のPatch Tuesday(公開日: 2026年2月13日UTC)で、悪用確認済みゼロデイ6件を同時に修正した。MSRCのCVRF公開データでは、CVE-2026-21533(Windows Remote Desktop Servicesの特権昇格)を含む6件すべてが Exploited: Yes として記録されている。本稿は、既存のCVE-2026-21510関連記事をアップデートし、CVE-2026-21533を中心に「単発脆弱性」ではなく「連鎖攻撃」として再構成する。
加えて、CrowdStrikeの観測では、CVE-2026-21533の悪用は2025年12月24日から始まり、米国・カナダの企業(製造、金融、医療、テック)を対象に攻撃が確認された。以下では、公開済み一次・準一次情報に基づき、攻撃ベクター、時系列、防御優先度を分解する。
2026年2月Patch Tuesdayで何が確定したか
MSRCの2026年2月CVRF文書において、悪用済み(Exploited: Yes)として列挙されたのは次の6件である。
- CVE-2026-21533: Windows Remote Desktop Services Elevation of Privilege
- CVE-2026-21510: Windows Shell Security Feature Bypass
- CVE-2026-21513: MSHTML Framework Security Feature Bypass
- CVE-2026-21514: Microsoft Word Security Feature Bypass
- CVE-2026-21519: Desktop Window Manager Elevation of Privilege
- CVE-2026-21525: Windows Remote Access Connection Manager Denial of Service
NVDでも同6件はKEV(Known Exploited Vulnerabilities)連携属性として cisaExploitAdd: 2026-02-10 が付与されており、米連邦向け期限は 2026-03-03 で一致している。つまり、2月中旬時点で「理論上の脆弱性」ではなく、現実の侵害で使われた脆弱性群として扱うべき局面である。
CVE-2026-21533(RDP特権昇格)の技術的な位置づけ
CVE-2026-21533は、Windows Remote Desktop Servicesにおける不適切な権限管理に起因するローカル特権昇格である。NVD記述は「認証済み攻撃者によるローカル権限昇格」を明示し、CVSS v3.1は7.8(AV:L/AC:L/PR:L/UI:N)である。重要なのは、侵入後フェーズでの使い勝手の良さであり、初期侵入さえ成立すれば短い手順でSYSTEM権限へ到達し得る点にある。
CrowdStrikeは同脆弱性を、攻撃者グループ「SmashRDP」が利用した中核コンポーネントとして報告している。観測上、RDPセッション管理の不備を介して権限境界を越える手口が成立しており、単体でも高リスクだが、実運用では他のバイパス脆弱性と組み合わせることで成功率が上がる。
複合攻撃ベクター: SmartScreen・MSHTML・Word緩和策回避
2026年2月の特徴は、1件のRCEよりも「複数の防御層を順に剥がす」設計である。とくに次の3件はCVE-2026-21533と連鎖しやすい。
- CVE-2026-21510(Windows Shell): ネットワーク経由のセキュリティ機能バイパス。SmartScreenやMOTW系の判定回避導線として利用される。
- CVE-2026-21513(MSHTML): MSHTMLフレームワークのセキュリティ機能バイパス。IEモードやレガシー描画経路を残す環境では、ユーザー誘導と組み合わせた侵入起点になりやすい。
- CVE-2026-21514(Word): Wordにおける「信頼できない入力に基づくセキュリティ判断」によるバイパス。保護ビューやドキュメント防御の想定を外す導線として利用される。
ここでの本質は、攻撃者が「初期侵入」「防御回避」「権限昇格」をCVEごとに分業していることである。CVE-2026-21533はその中で、侵入後に権限を固定化するピボットとして機能する。
攻撃キャンペーンの時系列: 2025年12月24日開始、米加企業に拡大
CrowdStrikeの公開レポートによれば、CVE-2026-21533悪用の初期観測は2025年12月24日である。2026年1月から2月にかけ、対象は米国・カナダ企業へ拡大し、産業別では製造・金融・医療・テックの比重が高い。さらに、同社はCVE-2026-21510/21513/21514との組み合わせ運用を報告している。
この点は、MSRC/NVDの「Exploited: Yes」と矛盾しないが、標的属性(地域・業種・TTP)はベンダー観測依存である。したがって実務では、攻撃インテリジェンスの粒度差を前提に、公開済みIoCだけでなく「同型挙動(不審なRDP権限遷移、Word起点の異常プロセス連鎖)」を監視対象へ入れる必要がある。
防御設計: 72時間・14日・30日の三段階で実装する
パッチ適用だけでは遅れる組織が多いため、次の三段階運用が現実的である。
- 72時間以内: CVE-2026-21533/21510/21513/21514/21519/21525を優先パッチ群として指定し、RDP公開面の縮退(不要ポート閉鎖、踏み台限定、管理セグメント隔離)を同時実施する。
- 14日以内: EDRルールで「Office/ブラウザ起点→スクリプト実行→RDP関連高権限プロセス」の連鎖を検知し、ローカル管理者権限の棚卸しを完了させる。
- 30日以内: IEモード依存業務の削減計画、Word保護ビュー強制、RDP権限の最小化を恒常運用に組み込み、次回Patch Tuesday向けの先行テスト窓口を固定化する。
ゼロデイ複合攻撃への対抗軸は、脆弱性単位の対処ではなく「攻撃チェーンの分断」である。CVE-2026-21533を中心に見れば、侵入後の昇格経路を潰すことが、ランサムウェア展開やドメイン横展開の失敗率を最も高める。
FAQ
今回の6件で最優先はどれか
公開面と到達可能性の観点では、初期侵入導線になり得るCVE-2026-21510/21513/21514と、侵入後の権限固定化に使われるCVE-2026-21533を同一優先度で扱うべきである。単独優先より、連鎖想定での同時封じ込めが有効である。
CVE-2026-21533はリモートから直接取られる脆弱性か
NVD上はローカル権限昇格(AV:L)であり、通常は初期侵入後に悪用される。したがって「入口対策」と「昇格対策」を分離せず、同じインシデントプレイブックに統合する必要がある。
IEモードを残している組織は何を急ぐべきか
MSHTML関連(CVE-2026-21513)の露出を減らすため、IEモード利用業務の資産台帳化と利用許可の厳格化を優先すべきである。代替不能業務はセグメント隔離し、閲覧端末を限定する。
公開情報だけで米加標的性を断定してよいか
地域・業種の断定は、現時点ではCrowdStrikeの観測に依存する。MSRC/NVDは悪用の有無を確定する一次情報として有効だが、標的選定の詳細は複数インテリジェンスで継続検証する前提が妥当である。
参考文献
- Security Update Guide API - Updates — Microsoft Security Response Center, 2026-02-13
- Security Update Guide API - CVRF Document 2026-Feb — Microsoft Security Response Center, 2026-02-13
- CVE-2026-21533 — NVD, updated 2026-02-10
- CVE-2026-21510 — NVD, updated 2026-02-10
- CVE-2026-21513 — NVD, updated 2026-02-10
- CVE-2026-21514 — NVD, updated 2026-02-10
- Patch Tuesday: 6 Microsoft Vulnerabilities Actively Exploited in the Wild — CrowdStrike, 2026-02-13
- Known Exploited Vulnerabilities Catalog — CISA, accessed 2026-02-16
