CVE-2026-21509: Microsoft Officeのゼロデイ脆弱性、緊急パッチ公開

何が起きたのか

1月26日、MicrosoftがMicrosoft Officeのゼロデイ脆弱性（CVE-2026-21509）に対する緊急パッチをリリースした。この脆弱性は実際に悪用されており（in the wild）、同日CISAがKnown Exploited Vulnerabilities（KEV）カタログに追加している。

米国連邦機関は2月16日までに対応が求められている。

脆弱性の概要

CVE-2026-21509は、Microsoft 365およびOfficeのOLE緩和策をバイパスし、脆弱なCOM/OLEコントロールにユーザーを晒す脆弱性。CVSSスコアは7.8（高）。

攻撃の成立には、悪意のあるOfficeファイルをユーザーに開かせる必要がある。Microsoftは「セキュリティ判断において信頼できない入力に依存している」点が問題だと説明している。

影響を受ける製品

• Microsoft Office 2016
• Microsoft Office 2019
• Microsoft Office LTSC 2021
• Microsoft Office LTSC 2024
• Microsoft 365 Apps for Enterprise

パッチ適用状況

バージョン	対応
Office 2021以降	サービス側の変更で自動保護（Officeの再起動が必要）
Office 2019	ビルド16.0.10417.20095に更新
Office 2016	KB5002713をインストール（ビルド16.0.5539.1001）

Office 2021以降は自動的に保護されるが、Office 2016/2019はセキュリティ更新プログラムを手動でインストールするまで保護されない。

パッチ適用できない場合

すぐにパッチを適用できない環境では、Microsoftが提供するレジストリベースのCOM互換性緩和策を適用することで、脆弱なOLEコントロールを一時的にブロックできる。

参考:

• NVD - CVE-2026-21509
• Help Net Security - Microsoft reveals actively exploited Office zero-day
• CISA - Known Exploited Vulnerabilities Catalog