Microsoft、1月のアップデート 後不具合やOfficeへのゼロデイ脆弱性を修正(CVE-2026-21509)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、1月の不具合やOfficeへのゼロデイ脆弱性を修正(CVE-2026-21509)

2026年1月のWindows月例更新(1月13日配信)以降、クラウドストレージ(OneDriveやDropboxなど)への保存・参照をきっかけに一部アプリが応答しなくなる不具合が確認され、Outlook ClassicでもPSTをクラウド上に置く構成などでハングや再起動しないと再オープンできない症状が報告されました。Microsoftは1月24日に帯域外更新(OOB)を配信し、この問題を修正しています。

同じく1月下旬には、Microsoft Officeのセキュリティ機能バイパス(CVE-2026-21509)が悪用確認済みとして扱われ、こちらも緊急対応(サービス側変更・更新提供・暫定緩和策の案内)が進んでいます。

Windows更新後にOutlook Classicがフリーズする問題

影響が大きいのは、1月13日以降にリリースされたWindows更新の適用後に、OneDriveやDropboxなどのクラウドベースストレージからファイルを開く/保存する場面でアプリが応答しなくなるケースです。

Microsoftの説明では、OutlookでPSTをOneDriveに保存している構成だと、Outlookがハングして再度開けない、送信済みアイテムが見当たらない、過去に受信済みのメールが再ダウンロードされる、といった事象につながり得ます。

また、Outlook ClassicのPOPアカウント+PSTの組み合わせで、更新後にプロファイルがハングする問題も、同じく帯域外更新で対処済みと案内されています。

Office ゼロデイ CVE-2026-21509が悪用の緊急対応も同時進行

1月26日(現地時間)に、Microsoft Officeのセキュリティ機能バイパス 脆弱性CVE-2026-21509が、攻撃で悪用されているとして注意喚起されました。

細工したOfficeファイルを開かせ、信頼できない入力に依存した判断によってOLEの緩和策を回避される可能性があります。

CVE-2026-21509 修正対象(対策が提供・適用可能なもの)

  • Office 2021 以降
    サービス側の変更で保護され、Office アプリを再起動すると対策が有効になります。対象には Office LTSC 2021/Office LTSC 2024 などが含まれます。

  • Office 2016/Office 2019
    当初は更新プログラム準備中とされていましたが、同日(2026年1月26日)に情報が更新され、セキュリティ更新プログラムの提供開始が明らかになっています(自動更新が有効なら適用される想定)。

CVE-2026-21509 まだ修正できていない対象(未適用・適用不可になり得るもの)

  • Office 2016/Office 2019 で更新未適用の端末
    少なくともアドバイザリ公開直後の時点では、Office 2016 と Office 2019 は更新未提供(未パッチ)として扱われ、更新を入れるまで保護されない整理でした。
    提供開始後も、WSUS配信待ち・更新停止などで未適用の端末は同様に未保護になり得ます(緩和策としてレジストリ設定が案内されています)。

  • Office 2016 のクイック実行(Click-to-Run)版
    少なくとも KB5002713 は MSI ベースの Office 2016 にのみ適用され、Office 2016 のクイック実行版には適用されないと明記されています。クイック実行版は別経路の更新、または緩和策の適用状況を確認してください。