一昨日は、Windows Update の日。今回も様々な不具合の修正プログラムが提供されました。
Microsoft Security Response Center (MSRC)にて公開された情報によれば、5月に確認され修正が提供されている脆弱性だけでもかなりの数になります。(もちろんWindowsだけではありません)
そしてそのレベルも様々で、緊急に更新を必要とするものから、悪用される可能性の低いものまでさまざま。
さてそんな中で今ちょっと注目されているのが、「CVE-2026-40361」の修正プログラム。MSRC の情報を確認すると、「最大深刻度 緊急」。さらに「悪用される可能性が高い」ものと位置付けられております。
そして何よりも、このセキュリティの脆弱性に関するプログラムは、Microsoft からは、Microsoft Word の 脆弱性対策として修正プログラムが提供されていますが、実際には Word と Outlook が共通で使用するDLLの不具合に起因するもの。
【「ゼロクリック脆弱性」とは?】
さてこの脆弱性は、リモートコード実行の可能性があり、特にメールプレビューを通じて攻撃が行われるリスクを伴うものとされています。いわゆるOutlookとしては、「ゼロクリック脆弱性」とも言われています。
ウィルスにしても、Phishing 詐欺にしても通常は、メールを開いて、さらにその添付ファイルをクリックして開いたり、あるいはメッセージ内のリンクをクリックすることで初めて、ウィルスに感染したりPhishing サイトに誘導されたりと、Outlook の利用者が何かしらのアクションを起こして初めてトラブルに巻き込まれるもの。メールを開いただけでは特に問題はありません。
これに対して今回修正された脆弱性は、Outlookを起動して、メールをクリックして開いたり、プレビューしただけでトラブルに見舞われるものから「ゼロクリック脆弱性」とも言われているわけです。
かつて 2015年12月に修正された Outlook の TNEF の仕組みを悪用した脆弱性「BadWinmail」の再来ともいわれているようです。
今回ご紹介した「CVE-2026-40361」に限らず、Windows Update の日に提供される修正プログラムには、今回のような世界中の研究者から報告されている脆弱性を修正する更新プログラムが提供されています。
【提供されている更新プログラム】
今回取り上げた「CVE-2026-40361」 については、MSRC では「Microsoft Word のリモートでコードが実行される脆弱性」として紹介されています。
そしてその修正プログラムへのリンクも。
MSI版の Word 2016 に向けては、「Word 2016のセキュリティ更新プログラムの説明: 2026 年 5 月 12 日 (KB5002858)」という形で、さらによくよく見ると mac 版 Word においても同様に修正が提供されています。
Word for mac も例外ではないのでご注意ください。
こうして改めてCVEの情報を見てみると、危険度の違いはあれど、脆弱性がある以上、いくらセキュリティを強化してもその脆弱性を必ずしも回避できるものでもないことがご理解いただけると思います。また今回ご紹介した脆弱性は、その被害を ファイアーウォールや一般的なウィルス対策ソフトなどで回避することもできないとされています。唯一回避する方法は更新を適用すること...
一応、前回「「〜web.core.windows.net」のリンクにはご注意! 急増する Azure をホストするサポート詐欺サイト」の中、メールをテキストで受け取ることで不用意にリンクをクリックすることが避けられるよ?という設定についてもご紹介していますが、今回の脆弱性に関しては、こうして Outlookでメールをプレーンテキスト形式でのみ表示するように設定したことが有効な緩和策ともいわれているので、こうした設定にしておいて、リスクをできる限り回避できるようにすることも必要ですね。
そういうわけで、毎月提供されてる定例の Update には、こうしたセキュリティの脆弱性を回避するための修正が多数含まれているので、きちんと更新しておく必要があるわけです。
【2026/05/16追加】
<参照>
