2月9日～15日の最新サイバーセキュリティ情報 - AppleとMicrosoftを襲う重大欠陥

2月9日～15日に公表された主なトピックは以下のようなものだ。

MicrosoftはCVSS9.8を含む複数の重大脆弱性に対応する月例更新を公開し、すでに悪用が確認された欠陥への迅速な適用を呼びかけた。Appleも各OS向けに広範な修正を実施し、ロック画面の情報漏えいから権限昇格、WebKitやネットワーク関連の問題まで対処した。CISAは既知悪用脆弱性をカタログへ追加し、WindowsやOffice、Apple製品など幅広い製品が対象となった。組織には継続的な監視と即応体制の強化が求められる。

連載のこれまでの回はこちらを参照。

2月9日～15日の最新サイバーセキュリティ情報

本稿では、2月9日～15日に公表されたサイバーセキュリティに関するトピックを紹介する。それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

CVSS9.8の重大欠陥、Microsoftが緊急更新

Microsoftは2月10日（米国時間）、Microsoft製品に影響を及ぼす複数の脆弱性を修正する2026年2月の月例セキュリティ更新プログラムを公開した。対象となる製品を利用しているユーザーや企業に対し、できるだけ早期に更新プログラムを適用するよう呼びかけている。多くのMicrosoft製品では既定で自動更新が有効となっており、原則として自動的に更新が適用されるが、管理環境下にある端末などでは適用状況の確認が重要となる（参考「2026 年 2 月のセキュリティ更新プログラム (月例)」）。

• 

  2026 年 2 月のセキュリティ更新プログラム（月例）

今月の更新では、すでに悪用が確認されている、あるいは詳細情報が公開されている脆弱性が複数含まれる。MSHTML Frameworkのセキュリティ機能を回避するCVE-2026-21513、Windowsシェルのセキュリティ機能を回避するCVE-2026-21510、Windowsリモートデスクトップサービスにおける特権昇格のCVE-2026-21533、Windowsリモートアクセス接続マネージャーのサービス拒否を引き起こすCVE-2026-21525、デスクトップウィンドウマネージャーの特権昇格CVE-2026-21519、Microsoft Wordのセキュリティ機能バイパスCVE-2026-21514などが該当する。さらに、TPM2.0リファレンス実装における境界外読み取りの脆弱性CVE-2025-2884も挙げられている。これらは更新公開前に悪用や情報公開が確認されており、迅速な対応が求められる。

Azure SDK for Pythonに存在するリモートコード実行の脆弱性CVE-2026-21531には注意が必要だ。CVSS基本値が9.8と高く、認証やユーザー操作を必要とせずに悪用可能とされる。現時点で公開前の悪用は確認されていないが、脆弱性の特性上、企業は速やかなリスク評価と更新適用を実施すべきだとしている。

業務系製品では、Microsoft Officeが特権昇格、Microsoft SharePointおよびMicrosoft Exchange Serverがなりすまし、Microsoft SQL ServerとMicrosoft Visual Studioがリモートコード実行、Microsoft .NETがなりすましの脆弱性に対応した。Microsoft Azureは最大深刻度「緊急」とされ、リモートコード実行の問題が修正された。また、Microsoft Defender for Endpoint for Linuxでも重要度「重要」のリモートコード実行脆弱性が解消されている。

既存の脆弱性情報の更新も行われた。CVE-2016-9535（LibTIFFのヒープバッファーオーバーフロー）およびCVE-2025-2884では、影響を受ける製品にWindowsパッケージが追加された。さらに、Windows暗号化サービスのセキュリティ機能バイパスCVE-2024-30098では、DisableCapiOverrideForRSAレジストリーキーの削除日が2027年2月9日に変更された。

アドバイザリーでは、最新のサービススタック更新プログラム（SSU）に関するADV990001が更新され、新バージョンが利用可能になったことが告知された。Exchange Serverの更新展開に関しては、Exchangeチームブログで追加ガイダンスが示されている。Microsoft Edge（Chromiumベース）のセキュリティ情報は月例とは公開スケジュールが異なるため、別途確認が必要だ。

• 2026年2月Microsoftセキュリティ更新プログラムに関する注意喚起
• Microsoft 製品の脆弱性対策について（2026年2月）| 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

Apple、各OS向けに26.3系など配信 ー ロック画面情報漏えいから権限昇格まで対処

Appleは2月11日、iOS 26.3やiPadOS 26.3をはじめ、macOS Tahoe 26.3、macOS Sequoia 15.7.4、macOS Sonoma 14.8.4、tvOS 26.3、watchOS 26.3、visionOS 26.3、Safari 26.3のセキュリティ更新を公開した。Appleはユーザー保護の観点から、調査と修正が完了し配布可能になるまで脆弱性の詳細を原則として公表しない方針を示している（参考「Apple security releases - Apple Support」）。

• 

  Apple security releases - Apple Support

iOS 26.3およびiPadOS 26.3はiPhone 11以降や比較的新しいiPadを対象とし、ロック中端末への「物理アクセス」を前提に機微情報が見える恐れがある不具合を複数修正した。アクセシビリティ機能やLive Captions、VoiceOver、写真（ロック画面からの閲覧）など、状態管理や認可、入力検証の不備が原因となり得る問題を是正した。また、通話履歴では設定次第で拡張機能に識別情報が漏れる恐れ、スクリーンショット関連では削除済みメモを推測できる恐れ、iPhoneミラーリング中の表示・撮影に関する懸念も挙げられ、いずれもチェック強化やデータ削除、状態管理の改善で対処した。

一方で、ネットワークやブラウザー周辺にも広範な修正が入った。Bluetoothは細工したパケットによりサービス不能（DoS）を起こし得る問題を検証強化で修正。Wi-Fiはアプリが予期せぬ終了を招いたりカーネルメモリー破損につながり得る問題をメモリー処理改善で抑えた。WebKitは、悪意あるコンテンツでクラッシュやDoSが起きる可能性、SafariのWeb拡張経由で追跡され得る可能性などを、メモリー処理や状態管理の改善で修正した。CFNetworkでは「遠隔の相手が任意ファイルを書き込める」恐れがあるとされ、パス処理のロジックを見直している。加えて、ImageIOやCoreAudio、CoreMediaなどメディア処理系では、細工ファイル/画像の処理でクラッシュ、メモリー内容の露出、情報漏えいにつながり得る問題を境界チェックやメモリー処理の改善で塞いだ。

dyld（動的リンカ）に関する欠陥（CVE-2026-20700）の修正にも注目しておきたい。Appleは、この問題が「きわめて高度な攻撃」により、iOS 26以前のバージョンで特定の標的個人に対して悪用された可能性があるとの報告を把握していると説明している。報告への対応としてCVE-2025-14174およびCVE-2025-43529も発行されたとしており、メモリー破損を状態管理の改善で修正したとしている。ほかにも、CoreServicesやKernelでアプリがroot権限を得る恐れ（競合状態やパス処理の不備）、libxpcやSandboxでサンドボックスからの逸脱、SpotlightやStoreKit、LaunchServicesでインストールアプリの列挙や機微データへのアクセスに関わる懸念など、権限・隔離・プライバシーに直結する修正が並ぶ。

旧機種向けとして、iPhone XS系などを対象にiOS 18.7.5/iPadOS 18.7.5も同日公開された。内容は26.3系と共通する項目が多いが、Booksでは細工したバックアップ復元による保護ファイル改変の恐れ、Mailでは「リモートコンテンツ読み込み」を切っても一部プレビューに反映されない恐れ、Safariでは履歴にアクセスされ得る恐れなど、対象世代に合わせた修正も含まれる。

macOSではTahoe 26.3、Sequoia 15.7.4、Sonoma 14.8.4が同日更新され、iOS系と共通するCFNetwork、CoreAudio、CoreMedia、ImageIO、Bluetooth、WebKit、Sandbox、StoreKitなどの修正に加え、Foundationや通知センター、システム設定、GPUドライバー、パッケージ処理など幅広い領域でログの秘匿化、権限制御の強化、パス検証や一時ファイル処理の改善が示された。tvOS、watchOS、visionOS、Safari単体更新も同様に、共通部品を中心とする欠陥修正を反映している。さらにlibexpatのように、オープンソース由来の脆弱性（CVE-2025-59375）について、Appleのソフトウェアも影響を受ける可能性があるとしてCVE参照を促した。

Appleは各項目で報告者への謝辞も掲載しており、Google Threat Analysis Groupや研究者、セキュリティ機関の協力が記されている。利用者としては、対象端末・OSに応じた更新を速やかに適用し、ロック画面周りの設定や拡張機能、ネットワーク利用時のリスク低減を含め、最新状態を保つことが重要になる。

Windows・Office・iOSなどに影響、CISAが既知悪用脆弱性を追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、2月9日～15日にカタログに11のエクスプロイトを追加した。

• CISA Adds Six Known Exploited Vulnerabilities to Catalog | CISA
• CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA
• CISA Adds One Known Exploited Vulnerability to Catalog | CISA

CISAが追加したエクスプロイトは次のとおり。

• CVE Record: CVE-2026-21510
• CVE Record: CVE-2026-21513
• CVE Record: CVE-2026-21514
• CVE Record: CVE-2026-21519
• CVE Record: CVE-2026-21525
• CVE Record: CVE-2026-21533
• CVE Record: CVE-2024-43468
• CVE Record: CVE-2025-15556
• CVE Record: CVE-2025-40536
• CVE Record: CVE-2026-20700
• CVE Record: CVE-2026-1731

影響を受ける製品およびバージョンは次のとおり。

• Microsoft Configuration Manager (Unknown) 1.0.0から5.00.9106よりも前のバージョン
• Microsoft Microsoft 365 Apps for Enterprise (32-bit Systems, x64-based Systems) 16.0.1からhttps://aka.ms/OfficeSecurityReleasesよりも前のバージョン
• Microsoft Microsoft Office LTSC 2021 (x64-based Systems, 32-bit Systems) 16.0.1からhttps://aka.ms/OfficeSecurityReleasesよりも前のバージョン
• Microsoft Microsoft Office LTSC 2024 (32-bit Systems, x64-based Systems) 16.0.0からhttps://aka.ms/OfficeSecurityReleasesよりも前のバージョン
• Microsoft Microsoft Office LTSC for Mac 2021 16.0.1から16.106.26020821よりも前のバージョン
• Microsoft Microsoft Office LTSC for Mac 2024 16.0.0から16.106.26020821よりも前のバージョン
• Microsoft Windows 10 Version 1607 (32-bit Systems, x64-based Systems) 10.0.14393.0から10.0.14393.8868よりも前のバージョン
• Microsoft Windows 10 Version 1809 (32-bit Systems, x64-based Systems) 10.0.17763.0から10.0.17763.8389よりも前のバージョン
• Microsoft Windows 10 Version 21H2 (32-bit Systems, ARM64-based Systems, x64-based Systems) 10.0.19044.0から10.0.19044.6937よりも前のバージョン
• Microsoft Windows 10 Version 21H2 (ARM64-based Systems, x64-based Systems, 32-bit Systems) 10.0.19044.0から10.0.19044.6937よりも前のバージョン
• Microsoft Windows 10 Version 22H2 (x64-based Systems, ARM64-based Systems, 32-bit Systems) 10.0.19045.0から10.0.19045.6937よりも前のバージョン
• Microsoft Windows 11 version 22H3 (ARM64-based Systems) 10.0.22631.0から10.0.22631.6649よりも前のバージョン
• Microsoft Windows 11 Version 23H2 (x64-based Systems) 10.0.22631.0から10.0.22631.6649よりも前のバージョン
• Microsoft Windows 11 Version 24H2 (ARM64-based Systems, x64-based Systems) 10.0.26100.0から10.0.26100.7840よりも前のバージョン
• Microsoft Windows 11 Version 25H2 10.0.26200.0から10.0.26200.7840よりも前のバージョン
• Microsoft Windows 11 version 26H1 (ARM64-based Systems) 10.0.28000.0から10.0.28000.1575よりも前のバージョン
• Microsoft Windows 11 Version 26H1 10.0.28000.0から10.0.28000.1575よりも前のバージョン
• Microsoft Windows Server 2012 (Server Core installation, x64-based Systems) 6.2.9200.0から6.2.9200.25923よりも前のバージョン
• Microsoft Windows Server 2012 (x64-based Systems) 6.2.9200.0から6.2.9200.25923よりも前のバージョン
• Microsoft Windows Server 2012 R2 (Server Core installation, x64-based Systems) 6.3.9600.0から6.3.9600.23022よりも前のバージョン
• Microsoft Windows Server 2012 R2 (x64-based Systems) 6.3.9600.0から6.3.9600.23022よりも前のバージョン
• Microsoft Windows Server 2016 (Server Core installation, x64-based Systems) 10.0.14393.0から10.0.14393.8868よりも前のバージョン
• Microsoft Windows Server 2016 (x64-based Systems) 10.0.14393.0から10.0.14393.8868よりも前のバージョン
• Microsoft Windows Server 2019 (Server Core installation, x64-based Systems) 10.0.17763.0から10.0.17763.8389よりも前のバージョン
• Microsoft Windows Server 2019 (x64-based Systems) 10.0.17763.0から10.0.17763.8389よりも前のバージョン
• Microsoft Windows Server 2022 (x64-based Systems) 10.0.20348.0から10.0.20348.4773よりも前のバージョン
• Microsoft Windows Server 2022, 23H2 Edition (Server Core installation, x64-based Systems) 10.0.25398.0から10.0.25398.2149よりも前のバージョン
• Microsoft Windows Server 2025 (Server Core installation, x64-based Systems) 10.0.26100.0から10.0.26100.32370よりも前のバージョン
• Microsoft Windows Server 2025 (x64-based Systems) 10.0.26100.0から10.0.26100.32370よりも前のバージョン
• Apple watchOS 26.3よりも前のバージョン
• Apple visionOS 26.3よりも前のバージョン
• Apple iOS 26.3よりも前のバージョン
• Apple iPadOS 26.3よりも前のバージョン
• Apple tvOS 26.3よりも前のバージョン
• notepad-plus-plus 0から8.9.9よりも前のバージョン
• SolarWinds Web Help Desk 12.8.8 HF1およびこれよりも前のバージョン
• BeyondTrust Remote Support(RS) & Privileged Remote Access(PRA) 0からRS 25.3.1までのバージョン
• BeyondTrust Remote Support(RS) & Privileged Remote Access(PRA) 0からPRA 24.3.4までのバージョン

この期間にCISAは、既知の悪用が確認されている複数の脆弱性を新たにカタログへ追加した。対象にはMicrosoft製品群を中心とするWindowsおよびWindows Server各バージョン、Microsoft 365やOffice製品、さらにApple各種OSやnotepad-plus-plus、SolarWinds Web Help Deskなど、広範なプラットフォームとソフトウェアが含まれている。これらはすでにエクスプロイトが確認されている。

組織においては、該当バージョンのソフトウェアを速やかに特定し、ベンダーが提供する修正プログラムの適用や緩和策の実施を優先的に進める必要がある。あわせて、脆弱性情報の継続的な監視体制を強化し、CISAのカタログ更新に迅速に対応できる運用プロセスを整備することが、攻撃リスクの低減に必要不可欠だ。

• Known Exploited Vulnerabilities Catalog | CISA
• Cybersecurity Alerts & Advisories | CISA

*　*　*

今週の動向は、主要OSや業務製品における高深刻度脆弱性が同時多発的に修正されたことを示している。すでに悪用が確認された欠陥も含まれており、更新の遅延は直接的な侵害リスクにつながる。

組織はソフトウェア管理を徹底し、影響範囲の迅速な特定と更新適用を標準運用として定着させる必要がある。脆弱性情報の継続的な監視体制を強化し、CISAカタログや各種アドバイザリーに基づく優先順位付けを実施することが重要だ。継続的なサイバーセキュリティ対策の実践が被害低減への最短経路となる。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Japan Vulnerability Notes
• Home Page | CISA
• News | CISA
• Cybersecurity Alerts & Advisories | CISA