マイクロソフトは米国時間2026年2月10日、同社製品に影響する脆弱性を修正する月例のセキュリティ更新プログラムを公開しました。自動更新が既定で有効な製品が多いものの、環境やポリシーにより未適用の場合があるため、できるだけ早期の適用が求められます。今月は、公開前に悪用や情報公開が確認されたCVEが含まれ、優先度の高い対応が必要です。さらに、認証やユーザー操作なしで悪用可能とされるCVSS基本値9.8の脆弱性がAzure SDK for Pythonで修正されました。Exchange Serverの更新展開に関するガイダンスや、既知の問題は関連情報で案内されています。次回の月例更新は2026年3月10日が予定されています。
先に悪用や情報公開が確認された脆弱性への注意喚起
公開情報では、今月修正された中で公開前に悪用や詳細の一般公開が確認されたCVEが示されています。対象はMSHTML Framework、Windowsシェル、リモートデスクトップサービス、リモートアクセス接続マネージャー、デスクトップウィンドウマネージャー、Microsoft Wordに関するものです。具体的には、CVE-2026-21513、CVE-2026-21510、CVE-2026-21533、CVE-2026-21525、CVE-2026-21519、CVE-2026-21514が挙げられています。さらに、TPM2.0リファレンス実装に関するCVE-2025-2884も明記され、影響範囲の把握と更新適用が促されています。これらは更新の適用優先度が高く、公開情報により攻撃に利用されるリスクが高まるため、早急な適用計画が必要とされます。適用可否の判断や影響分析は、各CVEページの説明やよく寄せられる質問の参照が案内されています。
悪用前提の高リスク脆弱性とクラウド関連のポイント
今月の修正項目には、Azure SDK for Pythonのリモートでコードが実行される脆弱性CVE-2026-21531が含まれています。CVSS基本値は9.8とされ、認証なし、ユーザー操作なしで悪用可能と説明されています。事前の一般公開や悪用は確認されていませんが、脆弱性の特性から企業組織における迅速なリスク評価と更新適用が推奨されています。Microsoft Azureのカテゴリとしては最大深刻度が緊急で、影響はリモートでコードが実行される可能性が示されています。クラウドとオンプレミスの混在環境では依存関係の洗い出しと更新順序の整理が重要で、Exchange Serverの展開はチームブログで個別ガイダンスが案内されています。既知の問題は各更新のサポート技術情報で確認するよう求められています。
対象製品の範囲と深刻度 WindowsからOffice、開発環境まで広範に影響
公開情報では、対象製品と最大深刻度、最も大きな影響が整理されています。Windows 11 v25H2、v24H2、v23H2では最大深刻度が重要で、影響はリモートでコードの実行です。Windows Server 2025、2022、23H2、2019、2016も重要区分で、サーバーコア含む構成が対象となります。Microsoft Officeは特権の昇格、SharePointとExchange Serverはなりすまし、SQL ServerやVisual Studioはリモートでコードの実行、.NETはなりすましが最も大きな影響として示されています。Microsoft Azureは最大深刻度が緊急、Microsoft Defender for Endpoint for Linuxでもリモートでコードの実行が影響とされています。適用対象を明確化し、該当バージョンの番号やサポート技術情報に基づいて更新計画を立てることが求められます。
既存CVEの更新とレジストリ設定の期限変更
2026年2月10日付で、既存の脆弱性3件に更新がありました。CVE-2016-9535 LibTIFFのヒープバッファオーバーフローの脆弱性、CVE-2025-2884 TPM2.0リファレンス実装の境界外読み取りの脆弱性では、影響を受ける製品にWindowsパッケージが追加されています。CVE-2024-30098 Windows暗号化サービスのセキュリティ機能のバイパスの脆弱性では、DisableCapiOverrideForRSAレジストリキーの削除日が2027年2月9日に変更されました。この情報は運用方針や例外設定の見直しに関わるため、関係する環境での影響確認が必要です。変更履歴には、2月12日付でADV990001とCVE-2024-30098の更新追記が示されています。周辺設定や依存機能を含めた整合性確認が望まれます。
サービススタック更新、Edge、通知方法など補足事項
サービススタック更新プログラムはADV990001の案内が更新され、新バージョンの入手可能性が示されています。Microsoft Edgeのセキュリティ情報は月例スケジュールと異なるため、対象製品選択または専用のセキュリティリリース情報で確認するよう案内されています。各CVEページには緩和策や回避策、注意事項、よく寄せられる質問が掲載される場合があり、適用前の確認が推奨されています。セキュリティ更新プログラムガイドではCVEやKB、製品、リリース日でのフィルタリングが可能で、第2火曜日を指定した絞り込み方法が示されています。ガイドAPIの活用例として、HTML出力、Excelエクスポート、CVEやKBリスト取得に関するビデオが6本公開されていることも明記されています。通知方法はプロファイル作成とRSSの2通りが案内され、受信経路の整備が推奨されています。
直ちに取り組むべき実務アクション
自動更新の適用状況を資産管理で確認し、優先度の高いCVEの影響対象から順に手動適用を進める体制を整えます。Azure SDK for Pythonの利用有無をコードリポジトリと依存関係で洗い出し、該当環境は直ちに更新します。サーバー系ではExchange Serverの展開手順を参照し、既知の問題の有無をサポート技術情報で事前確認します。DisableCapiOverrideForRSAの運用が残る環境は、削除日変更を踏まえた計画見直しを行います。サービススタック更新と月例更新の順序の整合を確認し、再起動計画やメンテナンスウィンドウを確保します。最後に、セキュリティ更新プログラムガイドの通知設定を有効化し、月例の第2火曜日基準で定例運用に組み込みます。
詳しくは「マイクロソフト」の公式ページまで。レポート/DXマガジン編集部
