Windows 11メモ帳の脆弱性CVE-2026-20841とは？バージョン11.2510への更新とMarkdown機能オフで対策する方法

「まさか、あの『メモ帳』でウイルスに感染するなんて……」

2026年2月、Windowsユーザーにとって衝撃的なニュースが飛び込んできました。私たちが普段何気なく使っているWindows 11標準の「メモ帳（Notepad）」に、PCを乗っ取られる可能性がある深刻な脆弱性（ぜいじゃくせい：ソフトウェアのセキュリティ上の欠陥のこと）が見つかったのです。

この脆弱性は「CVE-2026-20841」と呼ばれ、その危険度を示すCVSSスコア（共通脆弱性評価システムによる点数）は「8.8（重要）」と高い数値がつけられています。Microsoftの公式セキュリティアドバイザリ（Microsoft Security Update Guide – CVE-2026-20841）でも詳細が公開されており、これまで「シンプルで安全」と思われていたメモ帳が、なぜ攻撃の入り口となってしまったのでしょうか？

以下で仕組み・背景・対策をわかりやすく解説します。「便利になった反面、攻撃面が広がった」という現代のソフトウェアが抱える教訓を、一緒に学んでいきましょう。

注：この記事では、CVE-2026-20841という特定の脆弱性に焦点を当てていますが、セキュリティリスクは日々変化します。定期的な情報確認とアップデートの習慣が最も重要です。

CVE-2026-20841とは？メモ帳の脆弱性をわかりやすく解説

まずは、今回発見された「CVE-2026-20841」がどのような脆弱性なのか、専門用語を補足しながら解説します。

脆弱性の仕組み：Markdownリンクが悪用される

今回の脆弱性の原因は、メモ帳に追加された「Markdown（マークダウン）」の表示機能にあります。Markdownとは、文章の見出しや太字、リンクなどを簡単な記号で表現できる書き方のことです。

Windows 11の新しいメモ帳は、このMarkdownファイル（.md）を開いた際、ファイル内のリンクを「クリック可能な状態」で表示する機能を持っています。しかし、このリンク処理に「不適切な中立化（コマンドインジェクション）」と呼ばれる設計ミスがありました。

具体的には、攻撃者が作った特殊なリンク（プロトコルハンドラーといいます）をメモ帳がチェックせずに実行してしまうのです。通常、ウェブサイトへのリンク（http://～）以外は警告が出るべきですが、修正前のバージョンでは、file:// や ms-appinstaller:// といったPC内部の命令を呼び出すリンクを、ユーザーへの警告なしに実行できてしまう状態でした。

攻撃シナリオ：ファイルを開いてクリックするだけで……

攻撃者はこの脆弱性を以下のように悪用します。

CVSSスコア8.8の意味と深刻度

この脆弱性の深刻度は、CVSS（共通脆弱性評価システム）というスコアで「8.8」と評価されています。これは10点満点中の数値で、「重要（High）」に分類されます。

• RCE（リモートコード実行）では、ネットワーク越しに攻撃者が勝手に命令を実行できる危険性があります。
• 権限については、メモ帳を開いているユーザーと同じ権限で攻撃が行われます。もしあなたが管理者権限でPCを使っていた場合、被害はPC全体に及ぶ可能性があります。

なぜメモ帳に脆弱性が生まれたのか？原因と背景

「昔のメモ帳はシンプルで安全だったのに」と感じる方も多いでしょう。なぜ、これほど基本的なアプリに脆弱性が生まれたのでしょうか？ ここでは、開発の経緯からその原因を紐解きます。

WordPad廃止→メモ帳の高機能化の流れ

かつてWindowsには、シンプルな「メモ帳」と、少しリッチな文書が作れる「ワードパッド（WordPad）」という2つのアプリがありました。しかし、MicrosoftはWindows 11 バージョン24H2のタイミングでワードパッドを廃止しました。

これに伴い、ワードパッドが担っていた「ちょっとした文書作成」の役割をメモ帳が引き継ぐ形で、メモ帳の高機能化が進められました。

Markdown対応・AI機能追加で広がった攻撃面

2025年5月から7月にかけて、メモ帳にはMarkdownへの対応や、AI（Copilot）による文章作成支援機能が正式に追加されました（GA：一般提供開始）。

本来、テキストを表示するだけなら安全だったメモ帳が、ブラウザのように「リンクを解釈して外部と通信する機能」を持ったことで、攻撃者がつけ入る隙が広がってしまったのです。「機能が増えれば、バグや脆弱性も増える」という典型的な例と言えます。

従来のレガシー版notepad.exeは影響なし

ここで重要なのは、すべてのメモ帳が危険なわけではないということです。

• 影響を受けるのは、Microsoft Store経由で更新される「モダン版」メモ帳（Windows 11に標準搭載）です。
• 影響を受けないのは、昔ながらの「レガシー版」notepad.exe（Windowsのシステムフォルダにある古いプログラム）です。

レガシー版にはMarkdownを表示する機能自体がないため、この脆弱性の影響を受けません。今回問題になっているのは、アイコンが新しくなり、タブ機能などがついた「新しいメモ帳」です。

今すぐやるべき対策と確認手順

それでは、具体的にどうすれば安全を確保できるのでしょうか。対策は「アプリのアップデート」が基本です。

メモ帳のバージョン確認方法

まずは、自分の使っているメモ帳が修正済みのバージョンかどうかを確認しましょう。

Microsoft Storeから手動で更新する方法

もしバージョンが古かった場合、以下の手順で手動アップデートを行ってください。

Windows Updateの確認（KB5077181 / KB5075912）

メモ帳アプリ自体の更新に加えて、OSのセキュリティ更新も重要です。2026年2月の月例パッチが適用されているか確認しましょう。

Windows 11（24H2/25H2）をお使いの方は、KB5077181が適用されているか確認してください。

これらが適用されていれば、システム全体のセキュリティレベルが向上します。

Markdown機能・AI機能をオフにしてリスクを減らす方法

「アップデートはしたけれど、使わない機能で危険にさらされるのは嫌だ」という方のために、リスクを最小限にする設定方法を紹介します。機能を使わないなら、オフにすることで攻撃面を減らすことができます。

メモ帳の設定から書式設定（Formatting）をオフにする手順

これで、Markdownの強調表示やリンクの自動認識機能が無効化され、昔ながらのプレーンテキストエディタに近い挙動に戻ります。リンクがクリックできなくなるため、誤って悪意あるリンクを踏むリスクを物理的に遮断できます。

修正パッチ適用後も残るリスク（警告ダイアログの限界）

今回の修正パッチ（バージョン11.2510以降）を適用すると、危険なリンクをクリックした際に「このリンクは安全でない可能性があります」という警告ダイアログが表示されるようになります。

アップデートしたからといって過信せず、「メモ帳からアプリが起動したり、何かがインストールされたりするのは異常だ」という意識を持つことが大切です。

不審な.mdファイルを開かないための心がけ

よくある質問（FAQ）

ここでは、ユーザーが抱きがちな疑問に回答します。

Q1. メモ帳を開いただけでウイルスに感染するのですか？

A. いいえ、ファイルを開いただけでは感染しません。ファイルの中に書かれているリンクを、ユーザー自身が「Ctrlキーを押しながらクリック」する操作をしない限り、悪意あるプログラムは実行されません。

Q2. 自分のメモ帳が修正済みバージョンか確認する方法は？

A. メモ帳を開き、右上の「設定（歯車マーク）」をクリックしてください。一番下の「メモ帳について」に表示されるバージョンが 「11.2510」以上 であれば修正済みです。

Q3. Windows 10のメモ帳も影響を受けるのですか？

A. 基本的には影響を受けません。Windows 10に標準搭載されているのはレガシー版のメモ帳だからです。ただし、もしご自身でMicrosoft Storeから新しい「Windows Notepad」アプリをインストールして使っている場合は、同様にアップデートが必要です。

Q4. Microsoft Storeの自動更新が無効だった場合はどうすればいいですか？

A. 手動で更新してください。Microsoft Storeアプリを開き、左下の「ライブラリ」→「更新プログラムを取得する」をクリックすれば、メモ帳を含むアプリの最新版がインストールされます。

Q5. Markdown機能自体をオフにすればリスクはなくなるのですか？

A. リスクは大幅に減ります。書式設定をオフにすればリンクがクリックできなくなるため、攻撃のきっかけを潰せるからです。ただし、ソフトウェアの脆弱性は他にも潜んでいる可能性があるため、機能オフだけでなく、必ずアップデート（パッチの適用）も行ってください。