## Microsoft、現在悪用されている6件のゼロデイ脆弱性を修正 **Microsoft**の2月のパッチチューズデーは、現在実際に悪用されている脆弱性に焦点を当て、多数のセキュリティ上の欠陥に対処しています。ITセキュリティ専門家およびプライバシーを重視するユーザーは、これらのアップデートの確認と適用を最優先すべきです。  ## ゼロデイ脆弱性の詳細 今月のパッチには、以下のゼロデイ脆弱性に対する修正が含まれています。 * **CVE-2026-21510**: **Windows Shell**におけるセキュリティ機能バイパスの脆弱性。悪用されると、攻撃者はWindowsの保護を回避し、悪意のあるリンクを介してユーザーの同意なしにコードを実行できます。これは、サポートされているすべてのWindowsバージョンに影響します。 * **CVE-2026-21513**: デフォルトのWindowsウェブブラウザのレンダリングエンジンである**MSHTML**におけるセキュリティバイパスのバグ。 * **CVE-2026-21514**: **Microsoft Word**における関連するセキュリティ機能バイパスの脆弱性。 * **CVE-2026-21533**: **Windows Remote Desktop Services**におけるローカル権限昇格の脆弱性。これにより、攻撃者はSYSTEMレベルのアクセス権を取得できます。 * **CVE-2026-21519**: **Desktop Window Manager** (DWM) における権限昇格の脆弱性。これは、2ヶ月連続で修正される2件目のDWMゼロデイです。 * **CVE-2026-21525**: **Windows Remote Access Connection Manager**におけるサービス拒否の脆弱性。VPN接続を妨害する可能性があります。 ## GitHub CopilotおよびIDEにおけるAI関連の脆弱性 **Immersive**の**Kev Breen**氏は、**GitHub Copilot**および**VS Code**、**Visual Studio**、**JetBrains**製品を含む複数の統合開発環境（IDE）に影響を与えるリモートコード実行の脆弱性に対処するパッチの重要性を強調しました。関連するCVEは**CVE-2026-21516**、**CVE-2026-21523**、および**CVE-2026-21256**です。 これらのAI脆弱性は、プロンプトインジェクションを介してトリガーされる可能性のあるコマンドインジェクションの欠陥に起因しており、攻撃者がAIエージェントを介して悪意のあるコードを実行できる可能性があります。 Breen氏は、APIキーなどの機密データへのアクセス権を持つことが多い開発者にとってのリスクを強調しました。悪意のあるAIプロンプトを介してこれらのキーが侵害されると、特にLarge Language Models (LLMs) およびエージェント型AIを使用する環境では、重大な影響を与える可能性があります。彼は、最小権限の原則を適用し、侵害された開発者シークレットの影響範囲を制限することを推奨しています。 ## 追加の洞察とリソース **Ivanti**の**Chris Goettl**氏は、Microsoftが1月以降、資格情報プロンプトの失敗や**Microsoft Office**のゼロデイ（**CVE-2026-21509**）に対する修正を含む、いくつかの帯域外セキュリティアップデートを発行したと指摘しています。 **SANS Internet Storm Center**は、重大度とCVSSスコアでインデックス化された個々の修正の[クリック可能な内訳](https://isc.sans.edu/diary/Microsoft%20Patch%20Tuesday%20-%20February%202026/32700)を提供しています。エンタープライズ管理者は、問題のあるアップデートに関する情報について[askwoody.com](https://www.askwoody.com/2026/february-2026-security-updates/)を監視できます。 これらのアップデートを適用する前に、必ずデータのバックアップを行ってください。