Microsoftは毎月第2火曜日に重要なセキュリティアップデートをリリースしており、これは「パッチチューズデー」として知られています。今月のアップデートパッチは、6つのゼロデイ脆弱性を含む59件のMicrosoft CVEを修正します。
これら6つの積極的に悪用されているゼロデイ脆弱性を簡単に見ていきましょう。
Windowsシェルセキュリティ機能バイパス脆弱性
CVE-2026-21510(CVSS スコア 10点満点中8.8)は、Windowsシェルにおけるセキュリティ機能バイパスです。保護メカニズムの失敗により、攻撃者がユーザーを説得して悪意のあるリンクまたはショートカットファイルを開かせると、Windows SmartScreenおよび類似のプロンプトを回避できます。
この脆弱性はネットワーク経由で悪用されますが、ユーザーの操作が必要です。被害者は、バイパスが発動するために、細工されたショートカットまたはリンクを起動するようソーシャルエンジニアリングされる必要があります。悪用が成功すると、攻撃者は信頼されていないコンテンツに対する通常の「実行してもよろしいですか?」というセキュリティダイアログを抑制または回避でき、ユーザーの疑念を喚起することなく、さらなるペイロードの配信と実行を容易にします。
MSHTMLフレームワークセキュリティ機能バイパス脆弱性
CVE-2026-21513(CVSSスコア10点満点中8.8)は、MSHTMLフレームワーク(Internet ExplorerのTrident/埋め込みWebレンダリングで使用される)に影響します。これは、ネットワーク経由のセキュリティ機能バイパスをもたらす保護メカニズムの失敗として分類されています。
攻撃が成功するには、被害者が悪意のあるHTMLファイル、またはMSHTMLをレンダリングに利用する細工されたショートカット(.lnk)を開く必要があります。開かれると、この欠陥により攻撃者はMSHTMLの特定のセキュリティチェックをバイパスでき、通常のブラウザまたはOfficeのサンドボックスや警告保護を削除または弱体化させ、後続のコード実行やフィッシング活動を可能にする可能性があります。
Microsoft Wordセキュリティ機能バイパス脆弱性
CVE-2026-21514(CVSSスコア10点満点中5.5)は、Microsoft Wordに影響します。これは、セキュリティ決定における信頼されていない入力に依存しており、ローカルセキュリティ機能バイパスにつながります。
攻撃者がこの脆弱性を悪用するには、ユーザーを説得して悪意のあるWord文書を開かせる必要があります。悪用されると、信頼されていない入力が誤って処理され、埋め込みコンテンツまたはアクティブコンテンツに対するWordの防御をバイパスする可能性があり、通常はブロックされる攻撃者制御のコンテンツの実行につながります。
デスクトップウィンドウマネージャー特権昇格脆弱性
CVE-2026-21519(CVSSスコア10点満点中7.8)は、型の混乱(システムがあるタイプのデータを別のタイプとして扱い、意図しない動作につながる欠陥)によって引き起こされるWindowsデスクトップウィンドウマネージャーのローカル特権昇格脆弱性です。
低い特権を持つローカル認証された攻撃者は、ユーザーの操作を必要とせずに、この問題を悪用してより高い特権を取得できます。悪用は、対象システム上で実行される細工されたプログラムまたはエクスプロイトチェーンステージなどを介して、ローカルで行われる必要があります。この脆弱性の悪用に成功した攻撃者は、SYSTEM特権を取得する可能性があります。
Windowsリモートアクセス接続マネージャーサービス拒否脆弱性
CVE-2026-21525(CVSSスコア10点満点中6.2)は、Windowsリモートアクセス接続マネージャーサービス(RasMan)におけるサービス拒否脆弱性です。
認証されていないローカル攻撃者は、低い攻撃複雑性でこの欠陥をトリガーでき、可用性への高い影響につながりますが、機密性や整合性への直接的な影響はありません。これは、サービスまたは潜在的にシステムをクラッシュさせる可能性がありますが、特権を昇格させたり悪意のあるコードを実行したりすることはできないことを意味します。
Windowsリモートデスクトップサービス特権昇格脆弱性
CVE-2026-21533(CVSSスコア10点満点中7.8)は、不適切な特権管理によって引き起こされるWindowsリモートデスクトップサービスの特権昇格脆弱性です。
低い特権を持つローカル認証された攻撃者は、ユーザーの操作を必要とせずに、この欠陥を悪用してSYSTEM特権に昇格し、影響を受けるシステム上の機密性、整合性、可用性を完全に侵害できます。悪用が成功するには、通常、リモートデスクトップサービスが存在するシステム上で攻撃者制御のコードを実行し、脆弱な特権管理パスを悪用することが含まれます。
Azureの脆弱性
Azureユーザーは、CVSSレーティング9.8の2つの重大な脆弱性にも注意することをお勧めします:
- Azure SDKに影響するCVE-2026-21531
- Azure Front Doorに影響するCVE-2026-24300
修正を適用して保護されていることを確認する方法
これらのアップデートはセキュリティ問題を修正し、Windows PCを保護された状態に保ちます。最新の状態であることを確認する方法は次のとおりです:
1.設定を開く
- スタートボタン(画面左下のWindowsロゴ)をクリックします。
- 設定(小さな歯車のようなアイコン)をクリックします。
2.Windows Updateに移動する
- 設定ウィンドウで、Windows Update(通常、左側のメニューの下部にあります)を選択します。
3.更新プログラムのチェック
- 更新プログラムのチェックと表示されたボタンをクリックします。
- Windowsは最新のパッチチューズデーアップデートを検索します。
- 以前に自動更新を選択している場合、更新履歴の下に次のように表示される場合があります:
- または、再起動が必要というメッセージが表示される場合があります。これは、システムを再起動するだけで更新が完了することを意味します。
- そうでない場合は、以下の手順を続けてください。
4.ダウンロードとインストール
- 更新プログラムが見つかった場合、すぐにダウンロードが開始されます。完了すると、インストールまたは今すぐ再起動というボタンが表示されます。
- 必要に応じてインストールをクリックし、プロンプトに従ってください。通常、コンピューターは更新を完了するために再起動が必要です。その場合は、今すぐ再起動をクリックしてください。
5. 最新の状態であることを再確認する
- 再起動後、Windows Updateに戻り、再度チェックします。最新の状態ですと表示されれば、すべて完了です!
