OutlookとWordにリモートコード実行脆弱性 深刻度は「緊急」：攻撃難易度は「低」

Microsoftは、OutlookとWordの脆弱性CVE-2026-45456を公開した。Officeの型混同により、未認証の攻撃者がローカルでコード実行可能となる。脆弱性を悪用した攻撃の難易度も低いため、注意してほしい。

[＠IT]

　Microsoftは2026年6月9日（現地時間）、「Microsoft 365」に影響するリモートコード実行の脆弱（ぜいじゃく）性「CVE-2026-45456」を公表した。対象製品は「Microsoft Outlook」（以下、Outlook）と「Microsoft Word」（以下、Word）で、深刻度は「緊急」（Critical）と評価されている。

　この脆弱性は、プログラムが異なるデータ型を誤って扱う「型混同（Type Confusion）」に起因するものだ。悪用された場合、攻撃者は対象システムで任意のコードを実行できる可能性がある。

攻撃に特別な手順はいらない　Outlook、Wordの脆弱性悪用に要注意

　CVSS v3.1の基本スコアは8.4で、機密性、完全性、可用性への影響はいずれも「High」と評価されている。

　Microsoftによると、攻撃に特別な権限は必要なく、攻撃の複雑さも低い。特別なアクセス条件や例外的な環境は必要なく、攻撃者は脆弱なコンポーネントに対し、再現性のある成功を見込めるとされる。

　攻撃ベクトルは「Local」とされているが、Microsoftは想定されるシナリオとして、攻撃者が標的端末に直接アクセスするケースの他、SSHなどを利用した遠隔アクセス、あるいはユーザーを誘導して悪意のある文書を開かせるケースを挙げている。

　脆弱性の悪用に成功した場合、攻撃者は情報の窃取やデータ改ざん、システムの機能停止などを引き起こす可能性がある。Microsoftはセキュリティ更新プログラムを公開しており、影響を受ける環境では速やかな適用を推奨している。