攻撃者がMicrosoft OutlookおよびWordの脆弱性を悪用して悪意のあるコードを実行できる可能性

Microsoftは、OutlookおよびWordに影響するリモートコード実行（RCE）の重大な脆弱性群を公開しました。 これらの脆弱性を悪用されると、攻撃者が標的システム上で任意のコードを実行できる可能性があります。

CVE-2026-45456、CVE-2026-45458、CVE-2026-47635として追跡されているこれらの脆弱性は、2026年6月9日に公開されました。いずれもCVSSスコア8.4の高深刻度と評価されています。

セキュリティ研究者らは、これらの脆弱性がフィッシングキャンペーンや悪意のある文書を利用した攻撃に悪用される可能性があると警告しており、Microsoft Officeアプリケーションに大きく依存する企業環境にとって深刻なリスクをもたらすとしています。

これらの脆弱性はMicrosoft OutlookおよびWordのメモリおよびオブジェクト処理の仕組みに影響を与えるもので、攻撃者が特別に細工したファイルや入力を作成し、危険な状態を引き起こすことを可能にします。

悪用に成功した場合、攻撃者は影響を受けるシステムの完全な制御権を取得し、マルウェアのインストール、機密データの窃取、あるいは企業ネットワーク内での横断的移動が可能になります。特筆すべき点として、3つの脆弱性はいずれもユーザー権限を必要とせず、攻撃の複雑さも低いため、実際の悪用が発生する可能性が一段と高まっています。

CVE-2026-45456 – 型の混同（Type Confusion）の脆弱性

CVE-2026-45456 は、アプリケーションが互換性のないデータ型を使ってリソースにアクセスする際に発生する型の混同（Type Confusion）の脆弱性（CWE-843）です。OutlookまたはWordが処理中にオブジェクトの型を誤って解釈することで、メモリ破損が引き起こされる可能性があります。

攻撃者は、不正なメモリ処理を誘発するよう特別に細工した文書やメールコンテンツを配信することでこの脆弱性を悪用し、最終的に任意のコードを実行できます。

ローカル攻撃ベクターに分類されているものの、権限やユーザー操作が不要なことから、連鎖的な攻撃シナリオでは特に危険性が高い脆弱性です。

CVE-2026-45458 – Use-After-Free脆弱性

CVE-2026-45458 は、OutlookおよびWordのメモリ管理に影響するUse-After-Free脆弱性（CWE-416）です。アプリケーションが解放済みのメモリを引き続き使用してしまうことで発生し、予測不能な動作やコード実行につながる可能性があります。

脅威アクターは、メモリの割り当てと解放の順序を操作する悪意のある文書を作成することでこの脆弱性を悪用できます。悪用に成功すると、現在のユーザーのコンテキストでコードを実行できるため、標的型攻撃における初期侵害の入口として非常に有効です。

CVE-2026-47635 – ヒープベースのバッファオーバーフロー

CVE-2026-47635 はヒープベースのバッファオーバーフロー（CWE-122）で、割り当てられたメモリ境界を超えて書き込まれたデータが隣接するメモリ構造を破損させる可能性があります。

OutlookまたはWordに過剰なデータを処理させるよう特別に細工されたファイルによって、この脆弱性が悪用される恐れがあります。悪用に成功すると、攻撃者は重要なメモリ領域を上書きし、任意のコードを実行できるようになります。

ヒープベースのオーバーフローは、ヒープスプレーなどの現代的な手法と組み合わせた際に非常に高い悪用可能性を持つことから、特に危険な脆弱性と言えます。

3つの脆弱性はいずれも、攻撃の複雑さが低く、権限やユーザー操作が不要といったCVSSベクターの特性を共有しており、その潜在的な影響の深刻さが改めて浮き彫りになっています。

Microsoftは公開時点でいずれの脆弱性も実際に悪用されていることを確認していませんが、その性質から脅威アクターにとって格好のターゲットとなり得るもので、特に悪意のあるOffice文書を利用したスピアフィッシングキャンペーンでの悪用が懸念されます。

各組織はMicrosoftの最新セキュリティアップデートを直ちに適用することが強く推奨されます。追加の緩和策としては、Outlookのプレビューペインの無効化、高度なメールフィルタリングの導入、不審な文書アクティビティの監視などが挙げられます。

セキュリティチームは異常なプロセスの挙動を注視するとともに、エンドポイント検出・対応（EDR）ソリューションを活用して悪用の試みを検知することも重要です。