概要
Microsoft は 2026年5月の Patch Tuesday において、Microsoft Outlook に影響を与えるゼロクリック型のリモートコード実行(RCE)脆弱性 CVE-2026-40361 を修正しました。この脆弱性は、攻撃者が細工したメールを送りつけるだけで、被害者がメールをプレビューまたは開封した瞬間にコードが実行されます。リンクや添付ファイルのクリックは一切不要です。企業の経営層・情シス担当者のメールボックスを狙った標的型攻撃に悪用される危険性があり、早急なパッチ適用が必要です。
目次
1. 何が起きたか
2026年5月13日、Microsoft は月例セキュリティ更新(Patch Tuesday)として合計 137 件の脆弱性を修正しました。その中で特に注目すべきが CVE-2026-40361 です。
Microsoft は公式には「Microsoft Word のリモートコード実行脆弱性」と説明していますが、実態は Word と Outlook が共有する DLL に存在するバグ であり、Outlook の電子メールレンダリングエンジンを通じて悪用されます。
この脆弱性を発見・報告したのは、ゼロデイ検知システム Expmon の開発者である Haifei Li 氏です。Li 氏は X(旧 Twitter)への投稿で次のように警告しています。
「被害者がメールを読む、またはプレビューするだけで脆弱性がトリガーされます。リンクや添付ファイルのクリックは不要です。」
— Haifei Li 氏
さらに Li 氏は、この脆弱性が約10年前に同氏が発見した CVE-2015-6172(BadWinmail) と同じ攻撃ベクターを持つと指摘しています。BadWinmail は当時「エンタープライズキラー(企業を壊滅させる脆弱性)」と呼ばれた悪名高い脆弱性であり、CVE-2026-40361 はその再来とも言えます。
「CEO や CFO のメールボックスに、ただメールを送るだけで乗っ取ることができる。企業のファイアウォールを完全にバイパスし、直接インボックスに届く脅威だ」
— Haifei Li 氏
2. 技術的詳細:ゼロクリック攻撃とは
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-40361 |
| 脆弱性の種類 | Use-After-Free(UAF)→ リモートコード実行(RCE) |
| 攻撃種別 | ゼロクリック(Zero-Click Attack) |
| 攻撃ベクター | 電子メール(受信メールのプレビュー・開封で発動) |
| 深刻度 | Critical(クリティカル) |
| CVSS 3.1 スコア | 8.4(Base)/ 7.3(Temporal) |
| CVSS ベクター | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (出典: MSRC) |
| Microsoft の評価 | 悪用の可能性が高い(Exploitation More Likely) |
| 発見者 | Haifei Li(Expmon 開発者) |
| パッチ提供日 | 2026年5月12日(Patch Tuesday) |
| 出典 | MSRC: CVE-2026-40361 |
ゼロクリック攻撃(Zero-Click Attack) とは、ユーザーが何も操作しなくても脆弱性が発動する攻撃手法です。従来のフィッシング攻撃では「悪意あるリンクをクリックさせる」「添付ファイルを開かせる」などユーザー操作が必要でしたが、ゼロクリック攻撃ではメールを受信してプレビューした瞬間に感染が成立します。
この脆弱性は Outlook のメールレンダリングエンジン(Word と共有する DLL)に存在するため、メールゲートウェイやファイアウォールによるブロックが極めて困難です。
現状の悪用状況: Li 氏は概念実証(PoC)コードを開発済みですが、完全に動作する攻撃コードは作成していないとしています。ただし「脅威アクターの創意工夫を過小評価すべきではない」と警告しており、Microsoft も「悪用の可能性が高い」と評価しています。
3. 影響範囲
対象製品・バージョン
以下は MSRC アドバイザリ(2026年5月12日付)に基づく影響を受ける製品の一覧です。
| 製品 | パッチ提供日 | KB / ビルド番号 |
|---|---|---|
| Microsoft 365 Apps for Enterprise(32/64bit) | 2026年5月12日 | 最新リリース |
| Microsoft Office LTSC 2024(32/64bit) | 2026年5月12日 | 最新リリース |
| Microsoft Office LTSC for Mac 2024 | 2026年5月12日 | 16.109.26051019 |
| Microsoft Office LTSC 2021(32/64bit) | 2026年5月12日 | 最新リリース |
| Microsoft Office LTSC for Mac 2021 | 2026年5月12日 | 16.109.26051019 |
| Microsoft Office 2019(32/64bit) | 2026年5月12日 | 最新リリース |
| Microsoft Word 2016(32/64bit) | 2026年5月12日 | 16.0.5552.1000(KB5002858) |
注: 上記製品の Word コンポーネントが Outlook と DLL を共有しているため、Outlook のプレビューウィンドウが攻撃ベクターとなります(MSRC 公式 FAQ より確認済み)。
影響を受ける可能性が高い環境
- Exchange Server 環境: 社内メールサーバーを運用している場合、攻撃が組織内に拡散するリスクがあります
- Microsoft 365(旧 Office 365) を利用している企業
- Outlook でプレビューウィンドウを有効にして日常業務を行っている全ユーザー
- 経営層(CEO・CFO・役員)のメールボックスを持つ組織
影響を受けない(または軽減される)環境
- メールをプレーンテキスト形式のみで表示するよう設定済みの環境
- 2026年5月の Patch Tuesday パッチを適用済みの環境
4. 推奨対応手順
【最優先】2026年5月の Patch Tuesday を適用する
Windows Update で最新パッチを適用してください。
設定 → Windows Update → 更新プログラムの確認 → インストールMicrosoft Intune / WSUS を利用している場合: 組織全体への展開を最優先で実施してください。パッチの適用状況を集中管理し、未適用端末を速やかに特定・対応してください。
【暫定対応】プレーンテキスト表示に設定する(パッチ適用前の緩和策)
パッチ適用が間に合わない場合、以下の設定でリスクを大幅に軽減できます。
Outlook をプレーンテキスト表示に設定する手順:
- Outlook を起動し、「ファイル」→「オプション」 を開く
- 「メール」 タブを選択
- 「メッセージの形式」 セクションで 「すべての標準メールをプレーンテキストで読む」 にチェック
- 「OK」 で保存
注意: プレーンテキスト表示にすると、HTML メールのレイアウトや画像が表示されなくなりますが、攻撃リスクを大幅に低減できます。業務上影響がある場合はパッチ適用後に設定を元に戻してください。
【継続監視】検知・アラート強化
- エンドポイント保護(EDR/AV)製品のシグネチャを最新状態に更新する
- メールゲートウェイのルールを見直し、不審なメールの検疫設定を強化する
- 不審なプロセスの起動・異常な通信など、インシデントの兆候がないか監視する
5. まとめ・YJK からのコメント
CVE-2026-40361 は「メールを読むだけで企業が危険にさらされる」深刻な脆弱性です。従来のセキュリティ教育で強調されてきた「怪しいリンクをクリックしない」「不審な添付ファイルを開かない」といった対策では防ぐことができません。
以下の組織は特に優先度を上げて対応してください:
- Outlook を全社導入している企業
- Exchange Server を社内運用している企業
- 経営層・役員のメールアカウントを保有する組織
現時点では実際の攻撃事例や実証済みエクスプロイトの公開は確認されていませんが、Microsoft が「悪用の可能性が高い」と評価している以上、攻撃者がコードを開発するまでの猶予は限られています。2026年5月の Patch Tuesday を今すぐ適用することを強く推奨します。
YJK では、Microsoft
パッチ管理の支援やエンドポイント保護の導入・運用相談を承っております。
自社環境への影響確認や対策推進でお困りの場合は、お気軽にご相談ください。
出典
- SecurityWeek: Microsoft Patches Critical Zero-Click Outlook Vulnerability Threatening Enterprises(2026年5月13日, Eduard Kovacs)
- Microsoft Security Response Center: CVE-2026-40361
- Haifei Li(X / 旧 Twitter): 解説ポスト(2026年5月)