【緊急】Officeゼロデイ脆弱性CVE-2026-21509｜今すぐやるべき対策完全ガイド

普段何気なく開いているWordやExcelのファイル。もしそれが「開いた瞬間にPCを乗っ取る罠」だったとしたら、どうしますか？

2026年1月26日、MicrosoftはOffice製品における深刻なゼロデイ脆弱性（CVE-2026-21509）に対処するため、定例更新を待たずに緊急パッチをリリースしました。この脆弱性はすでに攻撃グループ「APT28」によって悪用が確認されており、一般ユーザーや企業にとっても対岸の火事ではありません。

この記事では、この脆弱性の危険性と、お使いのOfficeバージョンごとに「今すぐ何をすべきか」を詳しく解説します。

⚠️ この記事で分かること

この記事では、CVE-2026-21509という特定の脆弱性への対策に焦点を当てています。Officeのセキュリティリスクは他にも存在する可能性があるため、常に最新のセキュリティ情報を確認することが重要です。

CVE-2026-21509とは？脆弱性の概要を理解する

CVSSスコア7.8・セキュリティ機能バイパスの意味

今回発見された脆弱性CVE-2026-21509は、共通脆弱性評価システム（CVSS）のスコアで7.8（High/重要）と評価されています。

この脆弱性の種類は「セキュリティ機能のバイパス（回避）」です。通常、Officeには危険なプログラムが勝手に動かないようにする「OLE（Object Linking and Embedding：オブジェクトの埋め込み機能）の保護機能」が備わっています。しかし、今回の脆弱性を突かれると、Officeが「信頼できないデータをうっかり安全だと判断してしまう」ため、本来ブロックされるはずの攻撃がすり抜けてしまいます。

💡 セキュリティ機能バイパスは「偽造パスポートでの不正入国」

セキュリティ機能のバイパスは、空港の入国審査で偽造パスポートを使って不正入国するようなものです。本来は危険人物リストに載っている人物でも、巧妙に偽造された書類を使えば、審査官が「問題ない」と誤って判断してしまい、国内に侵入を許してしまいます。今回の脆弱性も同じで、Officeのセキュリティ機能が「細工されたファイル」を「安全なファイル」と誤認してしまうのです。

影響を受けるOfficeバージョン一覧

ほぼすべてのモダンなOffice製品が対象となります。特に、すでにサポートが終了しているOffice 2016/2019に対しても、事態の深刻さから例外的にパッチが提供されています。

影響を受けるOffice製品

Microsoft 365 Apps for Enterprise / Business
Microsoft Office LTSC 2024
Microsoft Office LTSC 2021
Microsoft Office 2019（サポート終了済み）
Microsoft Office 2016（サポート終了済み）

攻撃の仕組み：なぜOffice文書を開くだけで危険なのか

OLE／COMの安全チェックがすり抜けられる流れ

今回の攻撃は、Office文書に別の機能を埋め込む「OLE（オブジェクトの埋め込み）」という仕組みと、Windowsの部品である「COM（Component Object Model：コンポーネント・オブジェクト・モデル）」オブジェクトが悪用されます。

専門的な話を抜きにして、攻撃の流れを見てみましょう：

1. 攻撃者が細工されたOfficeファイルを作成

↓

2. メールやWebサイトを通じてファイルが配布される

↓

3. ユーザーがファイルを開く

↓

4. Officeのセキュリティ機能が誤って「安全」と判断

↓

5. 悪意のあるプログラムが実行され、マルウェアがダウンロードされる

ユーザー側から見ると、「メールで送られてきたWordファイルを開いただけで、裏で勝手にプログラムが動き出す」という恐ろしい挙動になります。

APT28（Fancy Bear）による「Operation Neusploit」の実態

この脆弱性は、ロシアに関連する脅威アクターAPT28（別名：Fancy Bear）によるサイバー攻撃キャンペーン「Operation Neusploit」ですでに悪用されています。

彼らは、政府機関や重要インフラ企業に対し、本物そっくりの偽装メール（軍事訓練の案内や気象警報など）に、この脆弱性を仕込んだ文書ファイルを添付して送りつけています。感染すると、メールの内容を盗み見る「MiniDoor」や、PCを遠隔操作するバックドアなどが設置されてしまいます。

⚠️ 一般ユーザーも標的になる可能性

現在はウクライナや欧州の政府機関を狙った標的型攻撃が中心ですが、攻撃手法が公開されたため、金銭目的のサイバー犯罪グループがこの脆弱性を悪用した「ばら撒き型メール」を開始する可能性があります。

今すぐやるべき対策：バージョン別チェックリスト

お使いのOfficeバージョンによって、必要なアクションが全く異なります。以下で自分の環境を確認してください。

Microsoft 365 Apps / Office LTSC 2021・2024

今すぐやるべきこと： アプリの再起動のみ

理由： Microsoft側でサービス設定が変更済みです。WordやExcelなどを一度完全に終了し、再起動することで保護が適用されます。

確認方法： PC自体を再起動すれば確実です。

Office 2019 / 2016（永続ライセンス版）

今すぐやるべきこと： セキュリティ更新の手動適用またはレジストリ緩和策

理由： 自動保護されません。Windows Updateまたは手動でパッチを当てる必要があります。

注意： サポート終了製品のため、今後のパッチ提供は保証されません。

Office 2016・2019の場合：KB番号と手動適用手順

Office 2016および2019をお使いの方は、以下のビルド番号以降になっているか確認してください。

必要なビルド番号

Office 2019: ビルド 16.0.10417.20095 以降
Office 2016: ビルド 16.0.5539.1001 以降

更新プログラム（KB5002713など）は、Microsoft UpdateカタログやMSRCのガイドから入手可能です。

⚠️ 最新情報を必ず確認してください

パッチ情報は変更される可能性があるため、必ずMicrosoft Security Update Guide (MSRC)で最新情報を確認してください。

パッチ適用できない場合のレジストリ緩和策

企業のポリシー等ですぐにアップデートできない場合、Microsoftはレジストリを編集して、悪用される部品（COMオブジェクト）を無効化する「緩和策」を案内しています。

ステップ1: regedit（レジストリエディター）を開く

↓

ステップ2: 指定のパスを開く
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\

↓

ステップ3: 新しいキーを作成
名前: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}

↓

ステップ4: DWORD値を作成
名前: Compatibility Flags
値: 400 (16進数)

↓

ステップ5: Officeアプリを再起動

これにより、攻撃に使われる Shell.Explorer.1 オブジェクトの読み込みがブロックされます。

⚠️ レジストリ編集の注意事項

レジストリの誤った編集はシステムに深刻な問題を引き起こす可能性があります。編集前に必ずバックアップを取り、自己責任で実施してください。不安な場合は、IT管理者や専門家に相談することを強く推奨します。

Office 2016/2019ユーザーが知るべき「サポート終了リスク」と移行判断

Office 2016およびOffice 2019は、2025年10月14日にすべてのサポート期間が終了しています。

サポート終了後のパッチ提供は「今回限り」の可能性

通常、サポート終了後の製品に修正パッチが提供されることはありません。今回、Microsoftがパッチを提供したのは、「すでに攻撃が行われており、被害が拡大する恐れがある」という緊急事態だったためです。

今後、同様の脆弱性が見つかってもパッチが提供される保証はありません。使い続けることは、セキュリティ上の大きなリスク（無防備な状態で攻撃に晒される状態）となります。

今後の選択肢

早急にサポート期間内の製品へ移行することを強く推奨します。

Microsoft 365 Personal/Business

常に最新のセキュリティ機能が提供されます。サブスクリプション型で、自動的に最新バージョンにアップデートされるため、セキュリティ面で最も安心です。

Office LTSC 2024

サブスクリプションを避けたい場合の買い切り版最新モデルです。長期サポートが提供されるため、一定期間は安全に使用できます。

Web版 Office（無料）

機能は限定されますが、セキュリティはMicrosoft側で管理されます。基本的な文書作成であれば十分な選択肢です。

よくある質問（FAQ）

Q1. Outlookのプレビューウィンドウで表示しただけで感染しますか？

A. いいえ、感染しません。

Microsoft公式情報によると、プレビューウィンドウは攻撃経路（Attack Vector）にはなりません。ただし、うっかりダブルクリックしてファイルを開いてしまうと感染するため、不審なメールはプレビューすら避けて削除するのが最も安全です。

Q2. Office 2016/2019はサポート終了済みですが、今回のパッチは適用できますか？

A. はい、今回は例外的に適用可能です。

深刻度が高いため、Microsoftが特別措置としてパッチを公開しました。ただし、前述の通り今後の保証はないため、移行を検討してください。

Q3. Microsoft 365を使っていれば自動的に保護されますか？

A. サービス側で対策済みですが、「再起動」が必要です。

バックグラウンドで修正が適用されていますが、WordやExcelなどのアプリを一度完全に終了し、再起動することで変更が有効になります。PC自体の再起動を行えば確実です。

Q4. APT28の標的は政府機関だけですか？一般ユーザーにもリスクがありますか？

A. 一般ユーザーにもリスクがあります。

Q5. パッチを当てられない場合の暫定対策はありますか？

A. レジストリ設定やProtected Viewの活用が有効です。

前述したレジストリによるCOMオブジェクトのブロック（Kill-bit設定）が有効です。また、Officeの「保護されたビュー（Protected View）」を有効にしておくと、インターネットからダウンロードしたファイルが即座に実行されるのを防ぐ追加の壁になります。

まとめ：「再起動」と「不審ファイルを開かない」が最優先

この記事では、Office製品における深刻な脆弱性CVE-2026-21509について解説しました：

脆弱性の概要：CVSSスコア7.8の重要な脆弱性で、Office文書を開くだけで感染リスクがあります。
OLEとCOMのセキュリティ機能がバイパスされ、悪意のあるプログラムが実行される可能性があります。
影響範囲：Microsoft 365からOffice 2016まで、ほぼすべてのOffice製品が影響を受けます。
特にサポート終了済みのOffice 2016/2019にも、今回は例外的にパッチが提供されています。
今すぐやるべきこと：Microsoft 365/Office 2021以降は再起動、Office 2016/2019は緊急パッチ適用またはレジストリ緩和策を実施してください。
出所不明なファイルは絶対に開かないことも重要です。

特にOffice 2016/2019ユーザーの方は、今回のパッチ適用を機に、安全な新しい環境への移行を真剣に検討してください。また、攻撃手法やパッチ情報は日々更新される可能性があるため、次回のPatch TuesdayやMSRCの公式情報を必ず確認するようにしてください。

⚠️ 重要な注意事項

この記事の情報は2026年2月時点のものです。セキュリティ情報は常に変化するため、最新の対策については必ずMicrosoft公式サイトやMSRCで確認してください。また、セキュリティ対策について不安がある場合は、IT管理者や専門家に相談することを強く推奨します。

パソコン設定編集部

パソコン・iPhone・スマホの初期設定から専門性の高い難しい設定まで「安心」「安全」にPCホスピタルにお任せできます！

本サイト「パソコン設定・iPhone・スマホのサポートはPCホスピタルがおすすめ」は当サイトが運営しています。PCホスピタルは本サイトの運営ではありません。