Microsoft が2026年6月9日の月例セキュリティ更新(Patch Tuesday)で、Outlook と Word に関係する3件のリモートコード実行(RCE)脆弱性の修正を公開しました。
脆弱性は CVE‑2026‑45456、CVE‑2026‑45458、CVE‑2026‑47635 として追跡され、Microsoft の製品別深刻度評価ではいずれも Critical、CVSS v3.1 の基本スコアは8.4です。いずれも Word のレンダリングエンジンにおけるメモリ処理の欠陥に起因します。CVE‑2026‑45456 は型の取り違え(type confusion)、CVE‑2026‑45458 は解放後使用(use-after-free)に分類されます。CVE‑2026‑47635 はベンダーの説明文では型の取り違えとされる一方、CWE分類ではヒープベースのバッファオーバーフロー(CWE‑122)と整理されています。Outlook Classic はメール内容のレンダリングに Word を使用するため、プレビューウィンドウでの表示だけでコードが実行されうる点が問題視されています。影響範囲には Microsoft Office LTSC 2024(32ビット版・64ビット版)が含まれます。Office LTSC for Mac 2021/2024 および Microsoft 365 for Mac はパッチ提供が遅れる場合があります。
From: Microsoft Outlook and Word Vulnerabilities Allow Attackers to Execute Malicious Code
【編集部解説】
今回の3件の脆弱性が「未来を触りたい」読者にとって見逃せないのは、攻撃の入口が「ファイルを開く」ではなく「メールが表示される」という、最も無防備な瞬間だからです。Microsoft も、攻撃経路は Outlook(クラシック版)のプレビューウィンドウであると明示しています。
その仕組みの核心は、Outlook クラシックがメール本文の描画に Word のエンジンを流用している点にあります。私たちが日々メーラーで何気なくメールを「選択」した瞬間、裏側では Word が文書を解釈しています。脆弱性はその Word エンジンに潜むため、添付を開かずとも発火しうるわけです。
ここで「RCE(リモートコード実行)」という呼び名について、ひとつ補足させてください。今回の脆弱性は攻撃元区分が「ローカル」と分類されています。一見すると「リモート」と矛盾するようですが、ここでの「リモート」とは攻撃者の所在地を指す呼称であり、攻撃の配送経路を意味するものではありません。この種の欠陥は「任意コード実行(ACE)」と呼ばれることもあります。
深刻度の数字についても、ひとつ整理しておきます。今回の CVSS 基本スコアは8.4ですが、FIRST が定める CVSS v3.1 の定性区分では、7.0〜8.9は「High」、9.0〜10.0が「Critical」に当たります。つまりスコアの区分としては「High」相当です。一方で Microsoft は、自社の製品別評価において、これらを「Critical」と位置づけています。報道で見かける「Critical」は後者の評価であり、両者は別の物差しだと理解しておくと混乱がありません。
次に、脆弱性の分類について補足します。元記事は3件すべてを「メモリ安全性の欠陥」とまとめ、CVE‑2026‑47635 を「型の取り違え(type confusion)」に分類していました。ベンダーの説明文は確かに型の取り違えと記しているものの、CWE分類では「ヒープベースのバッファオーバーフロー(CWE‑122)」と整理されています。同じ「メモリ破壊」でも発生機序の捉え方が異なるため、技術メディアとしては両面を併記しておきたい点です。
公開日についても触れておきます。元記事の見出し上の日付は2026年6月12日ですが、これは記事の掲載日です。Microsoft がこれらの更新を提供したのは2026年6月9日、いわゆる「Patch Tuesday(月例パッチの火曜日)」でした。なお、参照した Cybersecurity News の月例まとめは、今回のサイクル全体で198件の脆弱性が修正され、うち3件のゼロデイ(公開済みの脆弱性)が含まれたと報じています。ただしこの「ゼロデイ3件」は更新全体の話であり、本件のOutlook/Word3件がゼロデイだったわけではありません。修正規模の大きさを示す参考値として捉えてください(報道により約200件と差があります)。
影響範囲は限定的ではありません。Word の描画エンジンは Outlook をはじめ多くの製品が共有しているため、一つの欠陥が複数アプリへ波及します。確認されている範囲では Microsoft Office LTSC 2024 が対象で、Mac 版にも修正が及びます。法人ではメールの自動プレビューが標準設定であることが多く、組織全体が同時に危険にさらされる構図です。
一方で、過度に恐れる必要もありません。参照した解析では、各CVEの「悪用コードの成熟度」は現時点で「実証されていない(Unproven)」とされ、現時点で実際の悪用は確認されていません。すでに公式の修正が提供済みである点も、防御側にとっては明確な救いです。
このニュースが指し示す長期的な論点は、「メモリ安全性」という古くて新しいテーマです。型の取り違え、解放後使用、バッファオーバーフロー——いずれもC/C++時代から続く根深い欠陥群であり、世界中のセキュリティ機関が Rust などメモリ安全な言語への移行を促す背景でもあります。数十年前に書かれたコードの土台が、今なお私たちの受信トレイのリスクになっている。そこに、ソフトウェアという文化的営みの「歴史の重み」を感じ取ることができます。
読者にとっての実践的な意義は明快です。アップデートの適用は交渉の余地のない第一の対策であり、設定変更だけでは塞ぎきれません。そのうえで、信頼できないメールへのプレビュー制限、インターネット由来ファイルへの保護ビューの強制、ASRルールによる多層防御が「被害の広がり」を抑える助けになります。未来の技術に触れる前に、まず足元の受信トレイを固める。それが最も確実な一歩です。
【用語解説】
リモートコード実行(RCE:Remote Code Execution)
攻撃者が、離れた場所から対象のコンピューター上で任意のプログラムを動かせてしまう欠陥のこと。乗っ取りに直結するため、脆弱性の中でも最も深刻度が高い部類に入る。なお「リモート」は攻撃者の所在地を指す呼称であり、同種の欠陥は任意コード実行(ACE)とも呼ばれる。
CVE(Common Vulnerabilities and Exposures)
個々の脆弱性に世界共通で割り振られる識別番号。「CVE‑2026‑45456」のように西暦と連番で表される。同じ欠陥を各国の組織が同じ名前で参照できるようにする仕組みだ。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0〜10.0の数値で表す国際的な指標。FIRST の定性区分では7.0〜8.9が「High」、9.0〜10.0が「Critical」とされる。今回の基本スコア8.4はこの区分では「High」に当たる。一方、Microsoft は製品別の独自評価でこれらを「Critical」と位置づけている。
型の取り違え(type confusion)
プログラムが、あるデータを本来とは異なる種類のものとして扱ってしまう欠陥。メモリの破壊を招き、コード実行に悪用されうる。
解放後使用(use-after-free)
一度「不要」として解放したメモリ領域を、その後も誤って参照し続けてしまう欠陥。解放済み領域を攻撃者が乗っ取ることで悪用される。
ヒープベースのバッファオーバーフロー(heap-based buffer overflow)
データを格納する領域(ヒープ)の許容量を超えて書き込みが行われ、隣接する領域を上書きしてしまう欠陥。実行の制御を奪われる原因となる。CWE‑122として分類される。
レンダリングエンジン
文書やメールの内容を、人が読める形に組み立てて画面へ描画する中核部品。Outlook クラシックはこの役割に Word を流用しているため、Word の欠陥がメール表示にも波及する。
プレビューウィンドウ(Preview Pane)
メール一覧で件名を選ぶだけで本文が表示される画面領域のこと。ファイルを開いたりダブルクリックしたりせずとも本文が描画されるため、今回はこの自動表示が攻撃の入口になりうる点が問題視された。
ゼロデイ(zero-day)
修正パッチが提供される前から悪用が可能、または既に悪用されている脆弱性のこと。防御が間に合わないため危険度が高い。
Patch Tuesday(パッチ・チューズデー)
Microsoft が毎月第2火曜日に定例のセキュリティ更新をまとめて公開する慣行の通称。今回の更新もこのサイクルで提供された。
ASR(Attack Surface Reduction:攻撃対象領域の縮小)
攻撃に悪用されやすい挙動をあらかじめ制限する Microsoft の防御機能。Office が不審な子プロセスを起動するのを防ぐ用途などに使われる。
保護ビュー(Protected View)
インターネット由来のファイルを、編集できない閲覧専用モードで開く Office の安全機構。危険なファイルの即時実行を防ぐ。
ラテラルムーブメント(lateral movement)
攻撃者が最初に侵入した端末を足がかりに、組織内の別の端末やサーバーへ横方向に侵入を広げていく手法。
【参考リンク】
Microsoft Security Response Center(MSRC)Security Update Guide(外部)
Microsoft が自社製品の脆弱性情報を集約・公開する公式窓口。各CVEの詳細や修正状況を一次情報として確認できる。
Microsoft Learn — Office security updates リリースノート(外部)
Office 製品に適用されたセキュリティ更新を一覧で示す公式ドキュメント。各CVEの対象ビルドを追える。
FIRST — CVSS v3.1 Specification Document(外部)
CVSSの策定団体FIRSTによる公式仕様書。スコアと深刻度区分(High/Critical)の対応関係を確認できる。
Microsoft Outlook 公式ページ(外部)
本件の影響を受けるメールクライアント Outlook の公式紹介ページ。機能やプラン構成を確認できる。
Microsoft Word 公式ページ(外部)
脆弱性の根があるレンダリングエンジンを擁する文書作成ソフト Word の公式紹介ページ。
【参考記事】
Critical Microsoft Outlook and Word Flaws Enable Malicious Code Execution(Cyberpress)(外部)
3件をCWE別に分類し、CVSS 8.4、公開日2026年6月9日、悪用コードは「Unproven」と記載。分類補正の根拠として最重視した。
Microsoft Patch Tuesday for June 2026(Cisco Talos)(外部)
Cisco の Talos による解析。プレビューウィンドウが Word の機能を使い発火する経路を明示している。
Microsoft Patch Tuesday June 2026 – 198 Vulnerabilities Fixed(Cybersecurity News)(外部)
2026年6月の月例更新で計198件、うち3件がゼロデイと報じる。更新全体の規模感の出典として用いた。
Attackers Can Exploit Microsoft Outlook and Word Flaws(GBHackers)(外部)
3件が6月9日公開、CVSS 8.4、権限不要かつ攻撃の複雑性が低い点を指摘。企業環境のリスクを整理している。
CVE-2026-45458 — Security Update Guide(Microsoft MSRC)(外部)
Microsoft 自身による一次情報。当該脆弱性をローカルでのコード実行欠陥と定義している。
【編集部後記】
今回の件で、私たちが少し立ち止まったのは「メールを開いていないのに、表示しただけで」という入口の無防備さでした。みなさんが普段、受信トレイをプレビューで流し読みするあの瞬間も、裏では何かが動いています。よろしければ、お手元の Office が更新済みか、一度確かめてみませんか。そして「便利さの裏で何が動いているのか」を想像する習慣は、これから触れる新しい技術にもきっと役立つはずです。みなさんはこのリスク、どう受け止められましたか。