Windows ユーザーにとって大きな警告となる事態として、Microsoft は 2026 年 2 月 10 日に MSHTML フレームワークにおける重大なゼロデイ脆弱性を公開しました。
CVE-2026-21513 と名付けられたこのセキュリティ機能バイパスの脆弱性により、攻撃者はリモートで主要な保護機能を回避することが可能になります。
既に実際の攻撃で悪用されており、Microsoft Edge の Internet Explorer モードを使用している人や、Web コンテンツのレンダリングに MSHTML を利用しているレガシーアプリを使用している人にとって高いリスクとなっています。
古い Microsoft ブラウザで HTML レンダリングを担うエンジンである MSHTML は、「保護メカニズムの失敗」(CWE-693) に見舞われました。
ハッカーはユーザーを騙して悪意のあるサイトを訪問させたり、細工されたドキュメントを開かせたりすることができます。特別な権限は必要なく、クリックだけで済みます。
一度トリガーされると、攻撃者は SmartScreen フィルターやゾーン保護などの組み込みセキュリティをバイパスし、被害者のシステムを完全に制御できるようになります。
これは理論上の話ではありません。Microsoft の悪用可能性指数では「悪用が検出されている」と評価されており、実際の攻撃が進行中であることを意味します。
CVSS v3.1 スコアが 8.8/10(重大度:高)であることは、その危険性を浮き彫りにしています。ネットワークベースで、複雑度が低く、機密性、完全性、可用性に影響を及ぼします。
「緊急の請求書」リンクが記載されたフィッシングメールを受信する場面を想像してください。それをクリックすると、IE モードで罠が仕掛けられた Web ページが読み込まれます。
この脆弱性により、攻撃者は悪意のあるコードを注入し、データを盗んだり、ランサムウェアをインストールしたり、ネットワークのより深部に侵入したりできます。
ユーザーの操作が鍵となります。一度の誤ったクリックで運命が決まります。レガシー IE 依存関係を持つ企業は主要なターゲットであり、多くの企業が依然として最新の Chromium ベース Edge と互換性のないアプリを実行しています。
このゼロデイは、IE11 終了後の世界におけるレガシー技術のリスクを浮き彫りにしています。Microsoft が Edge の採用を推進する一方で、数百万のアプリが MSHTML に依存したままです。攻撃者はこうしたギャップを好みます。公開情報の開示により、パッチ適用への競争が激化します。
MSRC の専門家らは、同様の脆弱性が国家主導の攻撃者によるキャンペーンを促進してきたと指摘しています。悪用が確認されている今、パッチが適用されていないシステムは格好の標的となっています。
翻訳元: https://cyberpress.org/mshtml-framework-zero-day-vulnerability/