MS月例パッチ2月版公開、ゼロデイ脆弱性6件含む55件に対処 - Microsoft ACI緊急対応

マイクロソフトが2026年2月の月例セキュリティ更新プログラムを公開し、6件のゼロデイ脆弱性を含む合計55件の脆弱性に対処したことが明らかになりました。公開時点で悪用が確認されている脆弱性が含まれており、企業や組織は迅速な対応が求められています。

今回の更新内容と対象範囲

今回のアップデートでは、前月の114件から半減して55件の脆弱性への対処が行われました。対象となった製品・コンポーネントは広範囲にわたり、「Windowsカーネル」「Windows NTLM」をはじめ、「Office」「Internet Explorer」「Microsoft Graphicsコンポーネント」「GitHub Copilot」「Visual Studio」「.NET」「Azure」関連など、マイクロソフトの主要製品群を網羅しています。

脆弱性の内訳を見ると、権限の昇格に関する脆弱性が最も多く23件、続いてリモートからのコード実行が可能な脆弱性が12件となっています。さらになりすましの脆弱性7件、情報漏洩とセキュリティ機能のバイパスがそれぞれ5件、サービス拒否の脆弱性が3件含まれています。

緊急対応が必要な高危険度脆弱性

最大重要度を見ると、4段階中最も高い「緊急（Critical）」に分類される脆弱性が2件確認されています。これらはいずれも「Microsoft ACI」の機密コンテナに関する脆弱性で、権限昇格の脆弱性「CVE-2026-21522」と情報漏洩の脆弱性「CVE-2026-23655」です。

共通脆弱性評価システム「CVSSv3」のベーススコアでは、「7.0」以上とされる脆弱性が42件に上っています。特に注目すべきは「Azure SDK for Python」に判明した脆弱性「CVE-2026-21531」で、「9.8」という極めて高いスコアが付けられています。これは「9.0」以上とされる脆弱性の中で唯一のものです。

残りの52件については「重要（Important）」、1件は「警告（Moderate）」とされており、緊急度に応じた優先順位での対応が推奨されます。

ゼロデイ脆弱性の深刻な影響

今回最も懸念されるのは、6件のゼロデイ脆弱性が含まれていることです。これらの脆弱性は公開時点で既に悪用が確認されており、攻撃者によって実際に利用されている状況を示しています。ゼロデイ脆弱性は、パッチが提供される前から攻撃に使用されるため、防御側にとって特に危険度の高い脅威となります。

一般的にゼロデイ脆弱性は、攻撃者が事前に脆弱性を発見し、修正プログラムが提供される前に悪用を開始するケースが多いとされています。このため、パッチが公開された段階では既に攻撃活動が進行している可能性があり、迅速な対応が不可欠です。

企業が取るべき対応策

今回の更新に対して、企業や組織は段階的なアプローチでの対応が推奨されます。まず「緊急（Critical）」に分類された2件の脆弱性、特にMicrosoft ACIの機密コンテナに関する脆弱性については最優先での適用が必要です。

次に、CVSSv3スコアが9.0以上の「CVE-2026-21531」（Azure SDK for Python）については、該当システムを使用している組織での早急な対応が求められます。その後、「重要（Important）」に分類された52件の脆弱性について、業務への影響を考慮しながら計画的な適用を進めることが重要です。

一般的なパッチ管理のベストプラクティスとして、テスト環境での事前検証、段階的な本番環境への適用、適用後の動作確認が推奨されています。特にゼロデイ脆弱性が含まれている今回の更新では、セキュリティリスクと業務継続性のバランスを取りながら、可能な限り迅速な対応を行うことが重要です。