2026年2月のMicrosoft Patch Tuesdayで、セキュリティ業界を騒がせる脆弱性が2つ明らかになりました。1つはWindows Notepad(メモ帳)のリモートコード実行(RCE)、もう1つはGitHub Copilotへのプロンプトインジェクション攻撃です。どちらも「信頼されてきたツール」が攻撃経路になるという点で、開発者なら知っておくべきニュースです。
Windows Notepadにリモートコード実行(CVE-2026-20841)
Windowsのメモ帳に新しく追加されたMarkdownレンダリング機能が、深刻な脆弱性の原因となりました。CVSSスコアは8.8(High)で、すでにGitHubにPoCエクスプロイトが公開されています。
攻撃の仕組み
攻撃者が細工した.mdファイルをメモ帳で開くと、Markdownレンダリング時に悪意のあるリンクが生成されます。ユーザーがそのリンクをクリックすると、メモ帳が未検証のプロトコルを起動し、リモートのファイルを実行してしまいます。
つまり、「.mdファイルを開いてリンクをクリックしただけ」でマルウェアが実行される可能性があるということです。
なぜ重要か
メモ帳はWindowsで最も基本的な、最も信頼されてきたアプリケーションです。「メモ帳が危険」という概念自体が今までなかった。これはシンプルなツールに機能を追加する際のセキュリティリスクを如実に示す教訓です。2月のPatch Tuesdayで修正済みですが、Windows Updateを適用していない環境は注意が必要です。
GitHub Copilotにプロンプトインジェクション脆弱性
同じ2月のパッチで、GitHub Copilotに関する複数のCVEも修正されました。中でもCVE-2026-21516(CVSS 8.8)は、JetBrains版Copilotにおいてプロンプトインジェクションにより任意コード実行が可能というものです。
攻撃シナリオ
攻撃者がリポジトリのコードベースに悪意のあるプロンプトを埋め込みます(コメントやドキュメント内など)。開発者がそのリポジトリでCopilotのAIエージェント機能を使うと、エージェントが悪意のあるプロンプトを処理し、意図しないコードの実行やファイル操作を行ってしまいます。
VS Code版(CVE-2026-21256)でも同様の問題が発見されています。
AI時代の新しい脅威カテゴリ
これは「プロンプトインジェクションが実際の攻撃ベクトルとなった」最初の大規模事例と言えます。AIコーディングアシスタントが「毒入りリポジトリ」から任意コードを実行するという脅威は、従来のセキュリティモデルでは想定されていませんでした。
今後、AIエージェントの権限管理やサンドボックス設計がより重要になることは間違いありません。OSS リポジトリをクローンしてAIに分析させる際は、信頼性の確認が不可欠です。
対策まとめ
- Windows Updateを早急に適用する(2月のPatch Tuesday)
- GitHub Copilotを最新版にアップデートする(VS Code、JetBrains両方)
- 不審な
.mdファイルをメモ帳で開かない - AIエージェントに未知のリポジトリを処理させる際は慎重に
- AIツールの権限設定を最小限にする(read-onlyをデフォルトに)
「信頼されたツール」が攻撃の入口になる時代。セキュリティの常識がアップデートされていることを、改めて認識させられるニュースでした。
コメントを残す