2026年2月Patch Tuesdayの全容 ── 6件のゼロデイが示す防御崩壊

2026年2月11日、Microsoftは月例セキュリティ更新プログラム(Patch Tuesday)において、合計72件の脆弱性修正を公開した。そのうち6件が既に実証的なエクスプロイトコードが存在し、攻撃者によって悪用されている「ゼロデイ脆弱性」である。同時に6件のゼロデイが修正されるのは、2022年8月以来の事態であり、エンタープライズ環境におけるWindows防御の構造的課題を浮き彫りにしている。

特に注目すべきは、CVE-2026-21510(Windows Shell URI Handlerのセキュリティ機能バイパス)とCVE-2026-21533(Remote Desktop Servicesの特権昇格)の組み合わせによる攻撃チェーン構築の容易さである。これらはいずれもCVSS v3.1で7.8(High)の評価を受けており、CISA KEV(Known Exploited Vulnerabilities)カタログにも追加されている。本記事では、6件のゼロデイの技術的詳細、攻撃手法、および現行の防御策の限界を分析する。

CVE-2026-21510 ── Windows Shell URI Handlerのセキュリティ機能バイパス

CVE-2026-21510は、Windows ShellのURI(Uniform Resource Identifier)ハンドラーにおけるセキュリティ機能のバイパス脆弱性である。この脆弱性により、攻撃者は細工されたファイルやウェブリンクを介して、ユーザーのクリック操作を悪用し、任意のコマンドを実行できる。

技術的には、Windows Shellが特定のURIスキーム(例: ms-msdt:, search-ms:)を処理する際の入力検証の不備が原因である。Mark of the Web(MotW)によるゾーン識別子の保護を回避し、SmartScreenフィルターをバイパスすることが可能となる。これにより、信頼されていないソースからのファイルであっても、ローカルゾーン相当の権限で実行されてしまう。

2026年1月下旬以降、東欧のAPTグループによる攻撃キャンペーンで悪用が確認されている。標的型攻撃では、SpearPhishingメールに添付されたHTML Application(HTA)ファイルや、細工されたショートカット(.lnk)ファイルが使用されている。ユーザーがファイルを開くと、PowerShellスクリプトがダウンロード・実行され、バックドアが設置される。

CVE-2026-21533 ── Remote Desktop Services(RDS)の特権昇格

CVE-2026-21533は、Remote Desktop Services(RDS)における特権昇格の脆弱性である。認証済みの標準ユーザーが、システム権限(NT AUTHORITY\SYSTEM)でコードを実行できるようになる。CVSS v3.1スコアは7.8(High)、攻撃の複雑性は「Low」と評価されている。

脆弱性の根本原因は、RDSがセッション管理のためにWindowsステーションとデスクトップオブジェクトを操作する際の、アクセス制御リスト(ACL)のチェック不備である。攻撃者は、特定のRPCインターフェースを介してセッション属性を操作し、既存の高権限プロセスのコンテキストで新しいプロセスを生成できる。

特に危険なのは、CVE-2026-21510とのチェーニングである。まず初期侵入でCVE-2026-21510を用いてユーザー権限でバックドアを設置し、その後CVE-2026-21533を用いてシステム権限に昇格する攻撃フローが、複数のランサムウェアグループによって実装されている。2026年2月第1週には、ヘルスケア業界への攻撃で実際にこの組み合わせが使用されたことが報告されている。

その他の4件のゼロデイ ── Desktop Window Manager、Word、MSHTMLの脆弱性

残り4件のゼロデイもまた、攻撃チェーンの中で重要な役割を果たしている。

CVE-2026-21519(Desktop Window Manager Core Library - RCE)は、DWM(dwmcore.dll)における不適切なバッファ検証に起因するリモートコード実行の脆弱性である。細工された画像ファイル(特にHDR画像形式)をエクスプローラーでプレビュー表示させることで、コードが実行される。CVSSスコアは8.8(High)であり、ユーザーインタラクションが必要だが、攻撃の複雑性は低い。

CVE-2026-21545(Microsoft Word - RCE)は、Wordのレガシーバイナリファイル形式(.doc)パーサーにおけるメモリ破壊の脆弱性である。細工されたWordファイルを開くことで、任意のコードが実行される。この脆弱性は、Protected Viewがデフォルトで有効化されていない組織環境で特に危険である。2026年1月中旬以降、中東地域の政府機関を標的とした攻撃で悪用が確認されている。

CVE-2026-21502およびCVE-2026-21508(MSHTML Platform - 情報漏洩)は、Internet ExplorerのレンダリングエンジンであるMSHTMLにおける、Same-Origin Policy(SOP)のバイパス脆弱性である。これらはCVSSスコアこそ6.5(Medium)だが、攻撃者が被害者のブラウザ内のクッキーやローカルストレージデータを窃取できるため、初期侵入後の横展開に利用される。特に、EdgeのIEモードを使用している環境で影響を受ける。

攻撃チェーン構築の実態 ── ゼロデイ連鎖の戦術

2026年2月のゼロデイ群の特徴は、単独での悪用ではなく、複数の脆弱性を組み合わせた攻撃チェーンとして利用されている点である。典型的な攻撃フローは以下の通りである。

フェーズ1: 初期侵入 ── CVE-2026-21510またはCVE-2026-21519を用いた初期アクセス。フィッシングメールに添付された細工ファイル(.lnk, .hta, HDR画像)をユーザーが開くことで、ユーザー権限でバックドアが実行される。

フェーズ2: 権限昇格 ── CVE-2026-21533を用いたシステム権限への昇格。標準ユーザー権限から、RDSの脆弱性を悪用してNT AUTHORITY\SYSTEMに昇格する。

フェーズ3: 横展開と情報窃取 ── CVE-2026-21502/21508を用いたブラウザ内情報の窃取、および他のシステムへの横展開。MSHTMLの脆弱性により、企業内のイントラネットサイトに保存されたクレデンシャルやセッショントークンを取得する。

フェーズ4: 永続化と目的遂行 ── ランサムウェアの展開、またはデータの外部送信。System権限で動作するため、セキュリティソフトウェアの無効化や、イベントログの削除も容易となる。

この攻撃チェーンは、CrowdStrike、Mandiant、Microsoft Threat Intelligenceの各レポートで独立に確認されており、2026年1月下旬から2月上旬にかけて、少なくとも3つの異なる攻撃グループによって実装されている。

エンタープライズ防御の限界 ── パッチ適用遅延とゼロデイウィンドウ

6件のゼロデイ同時修正という事態は、現行の防御戦略の構造的課題を明らかにしている。特に問題となるのは、以下の3点である。

1. パッチ適用の遅延 ── エンタープライズ環境では、Patch Tuesday後、実際にパッチが適用されるまでに平均2〜4週間を要する。この間、組織は既知の脆弱性に曝露される。特に、今回のCVE-2026-21533のようなRDSの脆弱性は、リモートワーク環境で広く使用されているため、迅速な対応が困難である。

2. レガシーコンポーネントの残存 ── MSHTMLやWord .doc形式など、既に後継技術が存在するにもかかわらず、後方互換性のために維持されているコンポーネントが攻撃対象となっている。これらはセキュリティ投資の優先度が低く、脆弱性の発見・修正サイクルが遅い。

3. 多層防御の不十分な実装 ── SmartScreen、Protected View、Application Guardなどの緩和策は、適切に構成されていれば攻撃を阻止できるが、多くの組織ではユーザー利便性を優先し、これらの機能が無効化されている。特に、CVE-2026-21510のようなMotWバイパスは、ゾーンベースのセキュリティモデル全体の信頼性を損なう。

Gartnerの2026年1月のレポートによれば、Fortune 500企業の68%が、Patch Tuesday後14日以内にクリティカルパッチを80%以上のシステムに適用できていない。この「ゼロデイウィンドウ」の期間中、攻撃者は既知の脆弱性を悪用できる状態が続く。

FAQ

CVE-2026-21510のMotWバイパスは、どのようなファイルタイプで悪用されるのか?

主に.lnkショートカットファイル、.htaファイル、および特定のURIスキームを含むHTML/XMLファイルで悪用される。これらはメールやクラウドストレージ経由で配布され、ユーザーがファイルを開くとSmartScreenをバイパスして実行される。

CVE-2026-21533のRDS脆弱性は、Windows 10/11の全バージョンに影響するのか?

はい、Windows 10(バージョン1809以降)およびWindows 11の全エディション、ならびにWindows Server 2019/2022に影響する。RDS機能が無効化されていても、基盤となるコンポーネントは存在するため、脆弱性は残存する。

パッチ適用が遅延する場合の緩和策は何か?

以下の緩和策が推奨される。(1) SmartScreenおよびProtected Viewを強制的に有効化する、(2) RDS接続をVPN経由に限定し、ネットワークレベル認証(NLA)を必須とする、(3) エンドポイントセキュリティソフトで、疑わしいプロセス生成パターンを検出するルールを追加する。ただし、これらはパッチ適用の代替とはならない。

CISAのKEVカタログ追加により、組織はどのような対応を求められるのか?

米国連邦政府機関は、KEVカタログに追加された脆弱性について、追加から21日以内にパッチ適用を完了する義務がある。民間企業には法的義務はないが、サイバー保険やコンプライアンス要件(SOC 2、ISO 27001等)において、KEV追加脆弱性の迅速な対応が求められるケースが増えている。

今後、同様のゼロデイ連鎖攻撃は増加するのか?

はい、増加すると予測される。攻撃者は単一のゼロデイでは防御を突破できないことを理解しており、複数の脆弱性を組み合わせた攻撃チェーンの構築に投資している。また、ゼロデイ脆弱性のブローカー市場では、「チェーン可能な脆弱性」に対するプレミアム価格がつけられている。

参考文献