CVE-2026-20841: Windowsメモ帳のRCEがMicrosoftの2月Patch Tuesdayリリースで修正

マイクロソフトの2026年のPatch Tuesdayスケジュールは、パッチ優先順位を形成し続けています。1月のリリースでは、アクティブに悪用されているWindows Desktop Window Managerのゼロデイ（CVE-2026-20805）に対する修正がペースを設定しました。現在、2月のリリースでは別の実質的な懸念が加わります。機能が豊かになるアプリケーションは、より豊富なリスクを継承することもあり、内蔵のWindows 11メモ帳アプリがリモートコード実行の脆弱性と関連付けられたことが示されています。攻撃者は、編集可能なMarkdownファイルをメモ帳で開き、悪意のあるリンクをクリックするようにユーザーを誘導することで、未確認のプロトコル処理をトリガーし、リモートコンテンツを引き下ろして実行できます。

CVE-2026-20841として追跡されているこの脆弱性は、2026年2月10日のマイクロソフトのセキュリティ更新で対処され、CVSSスコアは8.8、重要と評価されています。

マイクロソフトが企業や消費者の環境において支配的な役割を果たしていることを考えると、そのソフトウェアの脆弱性は速やかに拡大し、しばしば繰り返しの攻撃者のプレイブックとなります。TenableのPatch Tuesday 2025レビューレポートは 示しているのは ディフェンダーが直面する量であり、マイクロソフトが2025年のリリースで1,130のCVEに対処し、そのうち30.8%がリモートコード実行の修正を占めています。だからこそ、CVE-2026-20841を日常の重要なパッチとして扱うべきではありません。これは現代のWindowsメモ帳アプリにおける8.8評価のリモートコード実行（RCE）であり、単純なMarkdownファイルと1回のクリックでコード実行の道筋となります。

SOC Prime Platformに登録してください、これはリアルタイム防御のための業界初のAIネイティブ検出インテリジェンスプラットフォームであり、600,000件以上の検出ルールを探索し、最新の脅威に対応し、AIとトップクラスのサイバーセキュリティの専門知識でチームをサポートします。「Explore Detections」をクリックして、脆弱性のエクスプロイト検出のための広範なルールセットにアクセスし、カスタム「CVE」タグで事前フィルタリングされています。

Explore Detections

すべてのルールは主要なSIEM、EDR、Data Lakeプラットフォームに移植可能であり、最新の MITRE ATT&CK フレームワークv18.1に準拠しています。AIネイティブの検出インテリジェンスによって、 CTI 参照、攻撃タイムライン、監査設定ガイダンス、トリアージ推奨事項、およびアナリストが警告からアクションへ迅速に移行するための追加のコンテキストを提供しています。

検出エンジニアリングのオーバーヘッドをさらに削減するために、セキュリティチームは Uncoder AI を使用して、複数の言語フォーマット間で検出ロジックを即座に翻訳し、生の脅威レポートから直接検出を生成し、攻撃フローを視覚化し、エンリッチメントとチューニングを加速し、エンドツーエンドの検証ワークフローを合理化します。

CVE-2026-20841の分析

2026年2月のマイクロソフトのPatch Tuesdayは 58の脆弱性に対するセキュリティ更新を提供し、その中には6つのアクティブに悪用されている問題と3つの公に開示されたゼロデイがあります。

このリリースの注目すべき欠陥の一つは、現代のWindowsメモ帳アプリにおけるCVE-2026-20841という悪質なリモートコード実行問題です。この脆弱性は、コマンドインジェクションに根ざしており、特別に作成された入力がプレーンテキストとしてではなく実行可能な命令として解釈される可能性があります。

マイクロソフトの アドバイザリ は、ユーザーの操作に依存するストレートフォワードな悪用パスを説明しています。攻撃者は、Windowsユーザーを誘導して、メモ帳で特製のMarkdown（.md）ファイルを開き、悪意のあるハイパーリンクをクリックさせることができます。そのクリックにより、メモ帳が未確認のプロトコルを起動し、リモートファイルをロードして実行し、ログイン中のユーザーと同じ権限でコード実行を可能にします。実用的には、「武器」はテキストファイルであり、配信は電子メールやダウンロードリンクを通じて簡単に行え、危険な瞬間はそのクリックです。

攻撃が成功すると、攻撃者はユーザーのアクセスレベルを引き継ぎ、ローカルファイル、ネットワーク共有、内部ツールが含まれます。多くの環境では、それはデータを盗み、追加のマルウェアを展開し、侵入拡大のための次のアクションを計画するのに十分です。

影響を受けるコンポーネントは、Microsoft Storeで配信されるメモ帳アプリであり、多くのチームが考えるレガシーのNotepad.exeではありません。この区別は運用上重要です。なぜなら、Storeアプリは、自動更新が無効化されている時や、企業がアプリバージョンの準拠を強制していない時に、更新が遅れる可能性があるからです。CVE-2026-20841の修正は、更新されたメモ帳リリースとしてMicrosoft Store経由で配信され、ビルド11.2510以降が修正済みとマークされ、マイクロソフトは顧客のアクションを求めています。

影響を受けるWindows環境に依存している組織は、遅滞なく2月の更新を適用し、Microsoft Storeメモ帳バージョンが修正済みビルドに更新されていることを確認することを強く推奨されます。パッチ適用を超えた範囲を強化するために、SOCチームは SOC PrimeのAIネイティブな検出インテリジェンスプラットフォーム を使用して、最大かつ継続的に更新されるリポジトリから検出コンテンツを調達し、検出からシミュレーションへのエンドツーエンドのパイプラインを採用し、ワークフローを自然言語で編成し、新たな脅威に対して回復力を維持できます。