いつも当スタッフブログをご覧いただきありがとうございます。

現在、Microsoft Office において、セキュリティ機能をバイパス（回避）される深刻なゼロデイ脆弱性 「CVE-2026-21509」 が確認されています。

この脆弱性はすでに実際の攻撃への悪用が確認されており、米サイバーセキュリティ・インフラセキュリティ庁（CISA）の「既知の悪用された脆弱性（KEV）カタログ」にも追加されています。対象の Office 製品をご利用のお客様は、直ちに対策状況をご確認ください。

---

1. 脆弱性の概要

今回の脆弱性は、Office 文書の埋め込みオブジェクト機能である OLE（Object Linking and Embedding） の保護メカニズムを悪用するものです。

攻撃者が用意した悪意のある Office ファイルを開くと、本来ブロックされるべき危険なコンポーネント（COM/OLE）が実行され、セキュリティ機能が無効化された状態で任意のコードが実行される 恐れがあります。

• 攻撃の容易性： 特殊な細工を施した文書ファイルをメールや共有フォルダで送付し、開かせるだけで成立します。
• 現状： すでに攻撃が確認されているため、迅速なパッチ適用が求められます。

---

2. 対象となる製品と深刻度

項目	詳細
対象製品	Office 2016, 2019, LTSC 2021, LTSC 2024, Microsoft 365 Apps
深刻度	CVSS v3.1：7.8（High / 警告）
公式情報	セキュリティ更新プログラム ガイド – Microsoft (CVE-2026-21509)

---

3. 推奨される対策アクション

ご利用の Office のバージョンにより、対応方法が異なります。

● Microsoft 365 / Office 2021 以降をご利用の場合

これらのバージョンは、クラウド経由で対策が順次自動配信されます。

ただし、アプリケーション（Word, Excel, Outlook 等）が起動したままの状態では更新が完了しません。

• 必須アクション： 全ての Office アプリケーションを一度完全に終了し、再起動してください。

● Office 2016 / 2019（永続版）をご利用の場合

自動更新が行われない、または更新スケジュールが異なる場合があります。公式のセキュリティガイドからパッチを手動で取得・適用する必要があります。

• 必須アクション： 下記の公式ガイドより、対象OS・バージョンに合致する「セキュリティ更新プログラム」をダウンロードし、適用してください。
• 暫定策： パッチの即時適用が困難な場合は、レジストリ設定による回避策（Mitigation）の実施を検討してください。詳細は公式ガイドに記載されています。

---

4. 公式情報の参照先

脆弱性の詳細、パッチのダウンロード、および公式の回避策については、以下の Microsoft 公式ドキュメントが唯一の正誤表となります。

🔗 セキュリティ更新プログラム ガイド – Microsoft (CVE-2026-21509)

---

📌 まとめ：今すぐ実施すること

1. 全ユーザーへの周知： 不審な添付ファイルや、信頼できない共有ドキュメントは開かない。
2. アプリの再起動： Microsoft 365 ユーザーはアプリを一度閉じる。
3. 手動更新： 旧バージョン利用者は MSRC からパッチをダウンロードして適用する。

---

商標・免責事項

免責事項： 本記事の情報は、執筆時点での公開情報に基づき作成しております。情報の正確性には細心の注意を払っておりますが、脆弱性への対応はお客様ご自身の責任において実施してください。本情報に基づいて実施された作業により発生したいかなる損害についても、弊社は一切の責任を負いかねます。最新かつ正確な情報は、必ず Microsoft 公式のアドバイザリ（MSRC）をご確認ください。

商標について： Microsoft、Office 365、Microsoft 365、Excel、Outlook、Word、および Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。その他、記載されている会社名および製品名は、各社の商標または登録商標です。