Microsoft、Windowsの定例アップデートで3件のゼロデイ 脆弱性を修正(CVE-2026-20805/21265/CVE-2023-31096)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、Windowsの定例アップデートで3件のゼロデイ 脆弱性を修正(CVE-2026-20805/21265/CVE-2023-31096)

米国時間2026年1月13日(日本時間では1月14日)に、Microsoftは月例のセキュリティ更新を公開しました。修正は114件で、重要度「Critical」は8件、内訳としてはリモートコード実行(RCE)が6件、特権昇格が2件と整理されています。
脆弱性カテゴリ別の件数としては、特権昇格57件、セキュリティ機能バイパス3件、RCE22件、情報漏えい22件、DoS2件、なりすまし5件とされています。

注目すべきゼロデイ:優先度の考え方

CVE-2026-20805(Desktop Window Manager:情報漏えい)—悪用が確認されたゼロデイ

Desktop Window Manager(DWM)の情報漏えいで、攻撃が成立するとローカルでメモリ関連の情報が読める可能性がある、と説明されています。
社内端末の台数が多い環境では、侵害後の横展開や権限取得の足がかりとして悪用される可能性があります。

CVE-2026-21265(Secure Boot証明書失効:セキュリティ機能バイパス)

Secure Bootの信頼の鎖に関わる証明書が失効し、更新されないシステムではSecure Bootの防御が弱くなる脆弱性です

CVE-2023-31096(Agere Soft Modem Driver:特権昇格)—脆弱ドライバの削除が進んだ

サードパーティ製のモデムドライバ(agrsm64.sys / agrsm.sys)に関する特権昇格で、以前から悪用が問題視されていたものが、2026年1月の累積更新で削除されたと説明されています。


「古いCVE番号=古い話」ではなく、実際に残存しているコンポーネントが攻撃面になり得る典型例です。パッチ適用で危ない部品が消えるタイプは、更新の価値が分かりやすい部類です。

Secure Boot証明書更新(2011→2023)とは何か

Secure BootはUEFIの仕組みで、OS起動前の段階(ブートローダやEFIアプリケーションなど)が改ざんされていないかを署名検証で確認し、信頼されたものだけを実行させる機能です。
この検証に使う信頼情報は、主にUEFI内のデータベースに格納されます。例として以下の役割分担です。

  • KEK(Key Enrollment Key):DB/DBX更新などの更新の許可に関わる鍵

  • DB(Allowed Signature Database):実行を許可する署名や証明書

  • DBX(Disallowed Signature Database):失効・禁止対象(revocation)として拒否するリスト

Windows環境ではMicrosoftの証明書がこの仕組みに深く関わっており、2011年に発行された証明書群が2026年に順次失効します。失効自体は証明書の寿命なので避けられません。

失効スケジュール:2026年に何が切れるのか

代表的なものは次の通りです。

失効する証明書(2011) 失効時期 置き換え(2023) 主な格納先 主な役割
Microsoft Corporation KEK CA 2011 2026年6月 Microsoft Corporation KEK 2K CA 2023 KEK DB/DBX更新の署名
Microsoft UEFI CA 2011 2026年6月 Microsoft UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 DB サードパーティブートローダ、Option ROM等
Microsoft Windows Production PCA 2011 2026年10月 Windows UEFI CA 2023 DB Windowsブートローダ署名