Microsoftは2月10日(米国時間)、「2026 年 2 月のセキュリティ更新プログラム (月例)」において、複数の製品の脆弱性に対処する2026年2月のセキュリティ更新プログラムをリリースしたと伝えた。修正された脆弱性は59件に上り、深刻度が緊急と評価される脆弱性も2件含まれている。
これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受ける危険性がある。
-
2026 年 2 月のセキュリティ更新プログラム (月例)
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 2026 年 2 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
7件のゼロデイの脆弱性と、2件の重大な脆弱性
修正前に悪用が確認された脆弱性、および詳細情報が公開された脆弱性は次のとおり。
- CVE-2026-21513 - MSHTMLフレームワークにセキュリティ機能バイパスの脆弱性。遠隔から認証を受けなくてもセキュリティ機能を回避できる可能性がある(CVSSスコア:8.8)
- CVE-2026-21510 - Windowsシェルにセキュリティ機能バイパスの脆弱性。遠隔から認証を受けなくてもセキュリティ機能を回避できる可能性がある(CVSSスコア:8.8)
- CVE-2026-21533 - Windowsリモートデスクトップに不適切な特権管理の脆弱性。認証を受けた攻撃者は、ローカルで特権を昇格できる可能性がある(CVSSスコア:7.8)
- CVE-2026-21525 - Windowsリモートアクセス接続マネージャーにサービス拒否の脆弱性。権限のない攻撃者が、ローカルでサービス拒否を引き起こす可能性がある(CVSSスコア:6.2)
- CVE-2026-21519 - デスクトップウィンドウマネージャーに特権昇格の脆弱性。認証を受けた攻撃者は、ローカルで特権を昇格できる可能性がある(CVSSスコア:7.8)
- CVE-2026-21514 - Microsoft Wordに信頼できない入力に依存する脆弱性。権限のない攻撃者が、ローカルでセキュリティ機能を回避できる可能性がある(CVSSスコア:7.8)
- CVE-2025-2884 - トラステッドプラットフォームモジュール(TPM: Trusted Platform Module)2.0のリファレンス実装に境界外読み取りの脆弱性。TPMコマンドインタフェースにアクセスできる攻撃者は、細工したコマンドを送信することで機密データへの不正アクセスまたはTPMのサービス拒否を引き起こせる可能性がある(CVSSスコア:6.6)
深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。
- CVE-2026-21531 - Azure SDKに信頼できないデータのデシリアライズの脆弱性。認証されていないリモートの攻撃者は、コードを実行できる可能性がある(CVSSスコア:9.8)
- CVE-2026-24300 - Azure Front Doorに特権昇格の脆弱性。本件脆弱性はMicrosoftにより対処済み。ユーザーによる対応は不要(CVSSスコア:9.8)
直ちにアップデートを
セキュリティアップデートの対象となる製品は多岐にわたる上、ゼロデイの脆弱性および深刻度が緊急(Critical)に分類される脆弱性の修正が含まれている。Microsoftはユーザーおよび管理者に対して上記セキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。
Windows 11のプリンタドライバー(旧式)を廃止へ、要注意
