今日は毎月恒例「Windows Update」の日、ゼロデイ脆弱性6件・脆弱性58件を修正し6月の期限切れ前に新しいセキュアブート証明書を導入
Windowsのセキュリティ更新プログラムやバグ修正を配信する毎月恒例のWindows Updateが公開されました。今回のWindows Updateでは、「メモ帳」に存在する脆弱(ぜいじゃく)性など複数の脆弱性が修正されています。
2026 年 2 月のセキュリティ更新プログラム (月例)
https://www.microsoft.com/en-us/msrc/blog/2026/02/202602-security-update
2026 年 2 月 のマイクロソフト月例セキュリティ更新プログラムを公開しました。既定では自動で更新されます。更新管理を行っている組織向けに、概要をブログで公開しています。ご参照の上、早期に更新の展開をお願いします。https://t.co/qQMc3UNjUp#セキュリティ #更新プログラム #マイクロソフト pic.twitter.com/4wMK0LwSoj— マイクロソフト セキュリティチーム (@JSECTEAM) February 10, 2026
対象の製品最大深刻度最も大きな影響関連するサポート技術情報またはサポートのウェブページ
Windows 11 v25H2、v24H2、v23H2重要リモートでコードの実行が可能v25H2、v24H2 5077181
v25H2、v24H2 Hotpatch 5077212
v23H2 5075941 Windows Server 2025 (Server Core installationを含む)重要リモートでコードの実行が可能5075899
HotPatch 5075942 Windows Server 2022、23H2 (Server Core installationを含む)重要リモートでコードの実行が可能Windows Server 2022 5075906
HotPatch 5075943
Windows Server 23H2 5075897 Windows Server 2019、2016 (Server Core installation を含む)重要リモートでコードの実行が可能Windows Server 2019 5075904
Windows Server 2016、5075999Microsoft Office重要特権の昇格https://learn.microsoft.com/officeupdatesMicrosoft SharePoint重要なりすましhttps://learn.microsoft.com/officeupdates/sharepoint-updatesMicrosoft Exchange Server重要なりすましhttps://learn.microsoft.com/exchange
Released: February 2026 Exchange Server Security Updates Microsoft SQL Server重要リモートでコードの実行が可能https://learn.microsoft.com/sqlMicrosoft .NET重要なりすましhttps://learn.microsoft.com/dotnetMicrosoft Visual Studio重要リモートでコードの実行が可能https://learn.microsoft.com/visualstudioMicrosoft Azure緊急リモートでコードの実行が可能https://learn.microsoft.com/azureMicrosoft Defender for Endpoint for Linux重要リモートでコードの実行が可能Linux 用 Microsoft Defender for Endpoint - Microsoft Defender for Endpoint
2026年2月のアップデートでは、実際に悪用されている6件の脆弱性が修正されました。そのうち3件はすでに公開されていました。実際に悪用されていた6件の脆弱性は以下の通りです。
◆CVE-2026-21510:Windows Shell セキュリティ機能バイパスの脆弱性
特別に細工されたリンクやショートカットファイルを開くことで悪用される脆弱性です。Microsoftは「Windows Shellコンポーネントにおける不適切な処理を悪用することで、攻撃者はWindows SmartScreenおよびWindows Shellのセキュリティプロンプトを回避し、ユーザーへの警告や同意なしに攻撃者が制御するコンテンツを実行できる可能性があります」と説明しました。
◆CVE-2026-21513:MSHTML Framework セキュリティ機能バイパスの脆弱性
WindowsにおけるMSHTMLのセキュリティ機能バイパスの脆弱性で、「MSHTML Frameworkにおける保護メカニズムの不備により、認証されていない攻撃者がネットワーク経由でセキュリティ機能を回避できる可能性があります」とMicrosoftは説明しています。
どのように悪用されたのかについての詳細は公表されていません。
◆CVE-2026-21514:Microsoft Word セキュリティ機能バイパスの脆弱性
ユーザーが悪意のあるOfficeファイルを開くことで、権限のない攻撃者がセキュリティ機能をローカルで回避できるようになるものです。
◆CVE-2026-21519:Desktop Window Manager 特権昇格の脆弱性
Desktop Window Managerにおける脆弱性で、互換性のないタイプを使用してリソースにアクセスすると権限のある攻撃者がローカルで権限を昇格できるようになります。
◆CVE-2026-21525:Windows リモートデスクトップ接続マネージャー サービス拒否の脆弱性
リモートデスクトップ接続マネージャーのNULLポインター参照により、権限のない攻撃者がローカルでサービスを拒否できるようになる脆弱性です。
◆CVE-2026-21533:Windows Remote Desktop Services 特権昇格の脆弱性
リモートデスクトップサービスにおける特権昇格の脆弱性で、認証済みの攻撃者がローカルでSYSTEM権限を取得する可能性があります。
これらに加えて、Microsoftは2026年6月下旬に期限切れとなるオリジナルの2011年証明書を置き換えるため、毎月のWindowsアップデートを通じて更新されたセキュアブート証明書の展開を開始しています。
IMPORTANT: Secure Boot certificates used by most Windows devices are set to expire starting in June 2026. This might affect the ability of certain personal and business devices to boot securely if not updated in time. To avoid disruption, we recommend reviewing the guidance and…— Windows Update (@WindowsUpdate) January 13, 2026
Windows Updateの公開は太平洋標準時間の毎月第2火曜日で、次回のアップデートは太平洋標準時間の2026年3月10日(火)提供予定となっています。
