マイクロソフト、悪用確認されたOfficeのゼロデイに緊急パッチ：CVE-2026-21509

佐々山 Tacos

2026.01.27

マイクロソフト、悪用確認されたOfficeのゼロデイに緊急パッチ：CVE-2026-21509

BleepingComputer – January 26, 2026

マイクロソフトは1月26日、緊急定例外セキュリティアップデートをリリースし、攻撃での悪用が確認されたMicrosoft Officeのゼロデイ脆弱性CVE-2026-21509に対処。米CISAもこの脆弱性をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加し、2月16日までの対応を米連邦政府機関に命じている。

CVE-2026-21509は複数のOfficeバージョンにおけるセキュリティ機能バイパスの脆弱性で、セキュリティ決定の信頼できない入力への依存（CWE-807）に起因する問題により、権限を持たない攻撃者にローカルでのセキュリティ機能のバイパスを許す恐れがあるというもの。攻撃者は悪意のあるファイルをユーザーに送信し、それを開くようにユーザーを誘導する必要があるものの、悪用が成功した場合、「脆弱な COM/OLE コントロールからユーザーを保護する Microsoft 365 および Microsoft Office の OLE 緩和策をバイパス」することが可能になるとされる。またアドバイザリには、プレビューウィンドウは攻撃対象にならない旨が記された。

影響を受けるのは、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024、Microsoft 365 Apps for Enterprise。またOffice 2021以降の利用者はサーバーサイドの変更により自動的に保護されるものの、Officeアプリを再起動することが求められる。ただ、Microsoft Office 2016・2019のセキュリティアップデートはまだ利用可能になっておらず、今後可及的速やかにリリース予定だという。両バージョンの利用者向けに、マイクロソフトのアドバイザリでは「悪用の深刻度を低減させる」ための緩和策が共有されている。

マイクロソフトはこの脆弱性の発見者が誰で、どのような攻撃で悪用されているのかなどの詳細を明かしていない。またBleepingComputerが同社に問い合わせたところ、コメントは得られなかったとのこと。