Microsoft Wordの脆弱性 CVE-2026-40361に注意、Outlookでゼロクリック型サイバー攻撃への悪用の恐れ

セキュリティニュース

投稿日時: 更新日時:

Microsoft Wordの脆弱性 CVE-2026-40361に注意、Outlookでゼロクリック型サイバー攻撃への悪用の恐れ

MicrosoftはCVE-2026-40361について、悪用される可能性が高い脆弱性として扱っています。現時点で、報告者が作成したのは完全なコード実行を達成する実用エクスプロイトではなくPoCとされていますが、Outlookを標準メールクライアントとして利用する企業では、早急にOffice更新を適用すべきです。

同時期発生-要注意Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用

何が起きたか

Microsoftの2026年5月Patch Tuesdayでは、多数の脆弱性が修正されました。その中で特に注目されているのが、CVE-2026-40361です。

この脆弱性は、Microsoft Security Update Guide上ではMicrosoft Word Remote Code Execution Vulnerabilityとして扱われています。CVEの説明では、Microsoft Office Wordに存在するUse After Freeの問題により、認可されていない攻撃者がコードを実行できる可能性があるとされています。

ただし、今回の重要な点は、脆弱性の影響がWord文書の処理だけにとどまらない可能性が示されていることです。報告者のHaifei Li氏は、問題の原因がWordとOutlookの双方で使われるDLLにあると説明しています。そのため、Outlookでメールを表示する処理が攻撃面になり得ます。

この性質により、攻撃者は不正なリンクをクリックさせたり、不審な添付ファイルを開かせたりしなくても、細工したメールを受信者のメールボックスに届けるだけで攻撃条件を満たせる可能性があります。企業の標的型攻撃では、役員、経理、法務、採用、営業、情シスなど、メールを大量に扱う部署が狙われやすくなります。

関連:Microsoft、定例パッチで危険な脆弱性を修正(CVE-2026-41089・CVE-2026-41096・CVE-2026-41103)

CVE-2026-40361の概要

CVE-2026-40361は、Microsoft Office Wordに存在するUse After Freeの脆弱性です。Use After Freeは、解放済みのメモリ領域をプログラムが再利用してしまう問題です。攻撃者がこの状態を意図的に作り出せる場合、アプリケーションの異常終了だけでなく、攻撃者が用意したコードの実行につながることがあります。

Microsoftの公式分類ではWordの脆弱性ですが、今回のケースではOutlookのメールレンダリング処理が実運用上の攻撃経路として注目されています。Outlookはメール本文、HTML、リッチテキスト、添付ファイル、プレビュー表示など、複数の形式を処理します。こうした表示処理の中でWord系コンポーネントが使われる場合、Wordの脆弱性がOutlook経由で露出することがあります。

報告者は、CVE-2026-40361について、Outlookでメールを読む、またはプレビューするだけで発火し得るゼロクリックのUse After FreeおよびRCEとして説明しています。また、Outlook Classicにはアプリケーションサンドボックスがない点も、攻撃時の危険性を高める要素として指摘しています。

なぜ危険なのか

CVE-2026-40361が危険なのは、攻撃の入口がメールである点です。

メールは企業の外部接点として常に開かれています。ファイアウォールやVPN、Webアプリケーションの公開範囲を制限していても、メールは取引先、顧客、採用応募者、委託先、社外サービスから日常的に届きます。攻撃者にとって、メールは標的に到達しやすい経路です。

通常の標的型攻撃メール対策では、ユーザーに不審なリンクをクリックしない、不明な添付ファイルを開かないと教育します。しかし、今回のようなゼロクリック性のある脆弱性では、ユーザーの判断に依存する防御が効きにくくなります。メールを閲覧する、プレビューウィンドウで確認するという通常業務の操作そのものが攻撃の起点になり得るためです。

特に注意すべきなのは、経営層や管理部門です。CEO、CFO、法務、人事、経理、営業責任者などは、外部からのメールを日常的に確認します。攻撃者が取引先や採用応募者を装ってメールを送れば、セキュリティ意識が高い利用者であっても、メール本文の確認を避けることは困難です。

また、OutlookとExchange Serverを組み合わせている企業では、メールが組織内の標準インフラとして深く組み込まれています。1台の端末侵害が、認証情報の窃取、メールボックスの探索、内部情報の収集、横展開、ランサムウェア侵入の足場につながる可能性があります。

BadWinmailとの類似点

SecurityWeekは、CVE-2026-40361について、過去にBadWinmailと呼ばれたCVE-2015-6172との類似性を取り上げています。BadWinmailは、Outlookのメール処理を起点に攻撃が成立する危険な脆弱性として知られています。

CVE-2015-6172では、Outlookでメールを開く、またはプレビューするだけで悪用される可能性が指摘されていました。当時も、ユーザーが添付ファイルを明示的に開かなくても攻撃が成立する点が問題視されました。

今回のCVE-2026-40361についても、報告者は同じ攻撃経路と同等の影響を持ち得ると説明しています。ただし、過去のBadWinmailが動作する実用的なエクスプロイトとして示されたのに対し、今回のCVE-2026-40361について報告者が作成したものはPoCであり、完全なコード実行を達成する実用エクスプロイトではないとされています。

同時期発生-要注意Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用

 

影響を受ける可能性がある環境

最も優先して確認すべきなのは、Windows版のMicrosoft Office、Microsoft 365 Apps、Office LTSC、Outlook Classicを利用している端末です。特に、Outlookを標準メールクライアントとして利用し、Exchange ServerまたはExchange Onlineと連携している企業では注意が必要です。

共有PC、VDI、リモートデスクトップ環境、コールセンター端末、役員端末、管理部門端末も確認対象です。こうした環境では、Office更新の適用状況が端末ごとにばらつきやすく、通常のWindows UpdateだけではOffice更新が完了していない場合があります。

また、メールをEMLやMSG形式で保存し、後からOutlookで開く運用がある部署も注意が必要です。インシデント調査、法務対応、監査、ヘルプデスク、営業支援などでは、メールファイルを共有フォルダやチケットシステムに添付する運用が残っている場合があります。攻撃メールがファイルとして再利用されると、受信時だけでなく後日の確認作業でもリスクが残ります。

同時期発生-要注意Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用

情報システム部門が優先すべき対応

最優先は、Microsoft OfficeおよびMicrosoft 365 Appsの更新適用です。CVE-2026-40361は、ユーザー操作の注意喚起だけで防ぐには限界があります。OutlookやWordを利用する端末に対して、2026年5月の更新が適用済みかを確認してください。

Windows Updateの成功だけで判断しないことも重要です。Officeの更新チャネル、Microsoft 365 Appsの更新ポリシー、Office LTSCの更新状態、共有PCの更新状況、VDIマスターイメージの更新状況を分けて確認する必要があります。

次に、Outlookのプレビューウィンドウ運用を見直してください。報告者は、メールをプレーンテキストで表示する設定が緩和策になり得ると説明しています。Microsoftのサポート情報でも、Outlook ClassicではTrust CenterのEmail Securityから標準メールをプレーンテキストで読む設定が用意されています。

ただし、プレーンテキスト表示は恒久対策ではありません。HTMLメールの表示崩れ、業務メールの可読性低下、署名や画像、リンク表示への影響が出ます。そのため、全社一律で長期間適用するよりも、役員、経理、法務、人事、情シス、セキュリティ担当など、高リスク利用者を対象に暫定措置として検討するのが現実的です。

監視と検知で確認すべきポイント

更新適用と並行して、Outlookを起点とした不審な挙動を監視してください。特に、OutlookやWordの子プロセスとして、PowerShell、cmd、wscript、cscript、mshta、rundll32、regsvr32などが起動していないかを確認する必要があります。

メール閲覧直後に不審なプロセスが起動している場合、通常業務では説明しにくい挙動です。EDRやSIEMでは、親プロセスがoutlook.exeまたはwinword.exeのイベントを重点的に確認してください。

また、メール受信後の短時間に、外部通信、認証情報アクセス、LSASSへのアクセス、スケジュールタスク作成、レジストリRunキーの変更、新規サービス作成、未知の実行ファイル生成が発生していないかも確認対象です。

Exchange ServerまたはExchange Online側では、特定の送信者から多数のユーザーへ送られた不審メール、添付ファイル付きメール、MSGやEML形式の再配布、役員や管理部門を狙ったメールを確認してください。攻撃が成立していない段階でも、標的型メールの痕跡を早期に発見できれば、端末側の調査範囲を絞り込めます。

今回の対応で見落としやすい点

1つ目は、Office更新がWindows更新と別管理になっている環境です。Microsoft 365 Appsの更新チャネルがCurrent Channel、Monthly Enterprise Channel、Semi-Annual Enterprise Channelなどに分かれている場合、端末ごとの更新タイミングが異なります。パッチ適用済みと思い込まず、実際のOfficeビルドを確認してください。

2つ目は、VDIやRDS環境です。利用者端末側ではなく、仮想デスクトップのマスターイメージやセッションホスト側にOfficeが入っている場合があります。この場合、端末管理ツールだけを見ても実態を把握できません。

3つ目は、役員端末や例外端末です。役員端末は業務影響を理由に更新を遅らせる運用になっていることがあります。しかし、今回のようにメールを起点とする脆弱性では、役員端末こそ標的になりやすい対象です。例外扱いの端末ほど優先して確認してください。

4つ目は、クラシックOutlookと新しいOutlookの混在です。報告者が特に言及しているのはOutlook Classicです。社内でどちらのOutlookを利用しているか、端末ごとの利用実態を確認する必要があります。

まとめ

CVE-2026-40361は、Microsoft公式の分類ではWordのリモートコード実行脆弱性です。しかし、報告者はOutlookとExchange Server環境でゼロクリックRCEとして成立し得る点を示しており、企業環境ではOffice文書の脆弱性としてだけでなく、メール経由の侵入リスクとして扱うべきです。

危険なのは、ユーザーがリンクをクリックしたり添付ファイルを明示的に開いたりしなくても、メールの閲覧やプレビューが攻撃面になり得る点です。これは、従来の標的型メール訓練や注意喚起だけでは防ぎにくい性質です。

情報システム部門では、Microsoft OfficeおよびMicrosoft 365 Appsの更新適用、Outlook Classic利用端末の棚卸し、プレビュー表示やプレーンテキスト表示の暫定運用、Outlookを起点とした不審プロセスの監視を優先してください。

現時点で完全な実用エクスプロイトが公開されているとは限りませんが、Microsoftが悪用される可能性が高いと評価している以上、対応を後回しにする理由はありません。メールは企業にとって最も開かれた入口です。今回の更新は、通常の月例パッチではなく、初期侵入経路を塞ぐための優先対応として扱うべきです。

出典

CVE.org:CVE-2026-40361
(CVE)

Microsoft Security Update Guide:CVE-2026-40361
(msrc.microsoft.com)

Haifei Li:CVE-2026-40361に関する投稿
(LinkedIn)

CrowdStrike:May 2026 Patch Tuesday: Updates and Analysis
(CrowdStrike)

Sophos:May’s Patch Tuesday hauls out 132 CVEs
(SOPHOS)

Microsoft Support:Read email messages in plain text in classic Outlook
(support.microsoft.com)