Microsoftは1月26日(米国時間)、「Security Update Guide - Microsoft Security Response Center」において、Microsoft Officeのゼロデイの脆弱性を修正したと報じた。

この脆弱性を悪用されると、攻撃者が作成した悪意のあるファイルを開くことでセキュリティ機能を回避される可能性がある。一般的に同種の攻撃を受けると、情報流出、システムの動作停止、任意のコード実行につながると考えられている。

  • Security Update Guide - Microsoft Security Response Center

    Security Update Guide - Microsoft Security Response Center

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2026-21509 - Microsoft Officeに信頼できない入力依存の脆弱性。攻撃者は細工したファイルを開かせることで、セキュリティ機能を回避できる可能性がある(CVSSスコア: 7.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Microsoft Office LTSC 2024
  • Microsoft Office LTSC 2021
  • Microsoft Office 2019
  • Microsoft Office 2016
  • Microsoft 365 Apps for Enterprise

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Microsoft Office 2019 ビルド16.0.10417.20095
  • Microsoft Office 2016 ビルド16.0.5539.1001 (KB5002713)

Microsoft Office LTSC 2024、Microsoft Office LTSC 2021、Microsoft 365 Apps for Enterpriseの3製品はサービス側で対処済み。Officeアプリケーションを再起動することで保護される。

影響と対策

Microsoftはこの脆弱性の深刻度を「重要(Important)」と評価しており注意が必要。すでに悪用を確認したと報告している。米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)も既知の悪用された脆弱性(KEV: Known Exploited Vulnerability)カタログにこの脆弱性を登録している(参考:「Known Exploited Vulnerabilities Catalog | CISA」)。

MicrosoftはOffice 2019および2016の更新プログラムの配布を開始したと発表。使用しているOffice製品のビルドバージョンを確認し、必要に応じてアップデートするように推奨している。

Office 2016に関してはサポートドキュメント「Office 2016 のセキュリティ更新プログラムの説明: 2026 年 1 月 26 日 (KB5002713) - Microsoft サポート」を公開。Microsoft Updateの利用または「Microsoft Update カタログ」などから更新プログラムのダウンロードが可能とアナウンスしている。

Office 2019に関しては、本稿執筆時点においてサポートドキュメントを確認できていない。しかしながら、更新プログラムの配布を開始したと発表しており、Microsoft Updateからインストールできるものと推測される。なお、Office 2019および2016はサポート終了(EOL: End of Life)に達しており、製品のアップグレードが推奨されている。