1. WPS Officeに「SYSTEM権限を奪われる」脆弱性、何が起きたか
2026年5月14日、JVN(Japan Vulnerability Notes)から「JVN#14434132」として、Windows向けオフィスソフト「WPS Office」の脆弱性が公表されました。識別子はCVE-2018-6400、CVSS v4.0で8.5(基本値)、CWE-749(危険なメソッドや関数に対する不適切な保護)に分類されます。JPCERT/CCの週次レポート2026年5月20日号でも【6】として取り上げられ、報告者は株式会社ラックの飯田雅裕氏です。
脆弱性の内容を経営者にもわかる言葉で要約すると、次の通りです。
・影響の本質: 一般社員のWindowsアカウントから、管理者しか触れないはずのSYSTEM権限で任意のプログラムを実行できる
・攻撃の起点: WPS Officeのバックグラウンドサービスが社内通信で使う「名前付きパイプ」のアクセス制御が甘い
・典型的な被害: 標的型メールで侵入したマルウェアが、このパイプ経由でPCを完全掌握する
・対象: Windowsクライアント版WPS Office全製品(個人版・法人版・PDF Pro・WPS Cloud含む)
「名前付きパイプ」は、Windowsの中でプログラム同士が情報をやり取りするための通り道のことです。本来は会社の中の内線電話のような仕組みで、外部や一般社員には触れない設定になっているはずですが、今回はその「鍵」が掛かっていなかった、というのが今回の問題の核心です。
出典: JPCERT/CC週次レポート 2026年5月20日号【6】、JVN#14434132、WPS株式会社 公式告知 2026-05-14
2. なぜ中小企業がWPS Officeを選んでいるのか:価格訴求の落とし穴
WPS Officeは、Microsoft Office(Microsoft 365)の互換ソフトとして、買い切り型では数千円から、サブスクリプション型でも年間4千円台から導入できる「コスパ最強」を売りにした製品です。Microsoft 365 Business Standard(1ユーザー月額1,874円・年22,488円・2026年4月時点)と比較すると、年間で1ユーザーあたり1万円以上の差額が出ます。社員10名で年10万円、20名で年20万円の差額となるため、中小企業の決裁者には魅力的に映ります。
しかし「価格でWPSを選んだ」中小企業が、今回のような脆弱性公表のたびに直面するのが次の3つの落とし穴です。
2-1. 落とし穴1:脆弱性公表後の対応スピードの差
Microsoft 365は、毎月「Patch Tuesday」と呼ばれる定例パッチが世界共通日程で配信されており、社内のWindows Update運用が回っていれば自動的に最新化されます。一方、WPS Officeは個人版・法人版・クラウド版で配信経路が異なり、法人版は「契約者用ダウンロードページ」または「営業窓口経由」での適用が必要です。専任の情報システム担当者がいない中小企業では、この「自分で取りに行く」手間がそのまま放置期間に直結します。
2-2. 落とし穴2:脆弱性情報のキャッチアップ難易度
Microsoftの脆弱性は、日本語の主要ITメディア(窓の杜・ITmedia・ASCII等)が即日報道します。WPSの脆弱性は報道が小さく、自社で能動的に情報収集していないと公表に気づきません。今回のCVE-2018-6400も、JVN・WPS公式・JPCERT/CCの3経路でしか主要な周知がなく、Web検索しなければ目に入らない位置づけです。
2-3. 落とし穴3:法人サポート窓口の即応性
Microsoft 365にはMicrosoft 365管理センター経由のサポート、認定パートナーによる導入支援が日本全国で利用可能です。WPS Officeにも法人向け窓口は存在しますが、対応規模・対応スピード・日本語ドキュメントの厚みでMicrosoftには及びません。「うちの会社の何台が該当するか」「適用に何時間かかるか」を聞ける相手がいるかどうかで、対応の質が大きく変わります。
つまり、年20万円の差額で得たコスト削減を、脆弱性公表時の対応工数・情報収集工数・万一の被害コストで相殺してしまうケースが珍しくない、ということです。
3. 「業務情報漏洩」リスクを経営目線で見ると何が見えるか
SYSTEM権限が奪われた状態は、技術的には「PCの中で何でもできる」状態ですが、経営者目線では次の被害シナリオに直結します。
3-1. シナリオ1:顧客情報・契約書PDFの一括持ち出し
WPS Officeで作成・保存している見積書・契約書・顧客リスト・取締役会議事録は、PCのドキュメントフォルダやファイルサーバーに保存されています。SYSTEM権限を奪われたPCは、フォルダ単位・ドライブ単位で外部送信が可能になります。「うちは小さい会社だから狙われない」という認識は2026年時点では完全に過去のもので、攻撃者は手当たり次第に脆弱なPCを自動スキャンしています。
3-2. シナリオ2:ランサムウェアの足掛かり
ランサムウェア攻撃の典型的な手口は「最初に1台に侵入し、SYSTEM権限を取得し、ネットワーク内の他のPCにも横展開する」というものです。今回のような名前付きパイプ経由の権限昇格は、まさに横展開の出発点になります。1台のPCが感染しただけで、社内の全ファイルサーバーが暗号化される事態は、規模に関係なく発生します。
3-3. シナリオ3:個人情報保護委員会への報告義務発生
顧客情報が外部流出した場合、個人情報保護法に基づき、個人情報保護委員会への報告と本人通知が義務付けられています(漏洩件数1,000人超や要配慮個人情報の漏洩等の場合)。報告期限は速報3~5日以内、確報30日以内と短く、対応に1社あたり数百万円規模のコストが発生する事例も報告されています。中小企業庁の調査では、サイバー被害1件あたりの平均損害額は中小企業でも数百万円~数千万円規模に達しています。
「うちはWPSしか入れていない、Microsoftじゃないから関係ない」ではなく、「うちが使っているソフトの脆弱性公表に気づいて、適切に更新する仕組みがあるか」が経営判断の本質です。
4. 影響を受けるバージョンと適用すべき修正版
WPS株式会社の公式告知(2026-05-14)に基づき、影響を受けるバージョンと修正版を整理します。
4-1. 影響を受けるバージョン
・WPS Office2(2020年版): Ver.11.2.0.10707以前
・WPS Office2(2025年版): Ver.11.2.0.10715以前
・WPS Office2(法人製品): Ver.11.2.0.10707以前
・WPS Cloud: Ver.11.2.0.10715以前
・WPS Cloud Pro: Ver.11.2.0.10716以前
・KINGSOFT PDF Pro: Ver.11.2.0.10715以前
4-2. 修正版
修正版は Ver.11.2.0.10721 として公開されています。個人向け製品は「WPSマイページ」からログインし、最新プログラムをダウンロード・インストールすることで適用できます。法人向け製品は契約者用ダウンロードページから適用、または営業窓口に問い合わせる形になります。
4-3. 確認手順(3ステップ)
自社PCのバージョン確認は、次の3ステップで実施できます。所要時間は1台あたり1~2分です。
・ステップ1: WPS Officeを起動し、画面右上のメニューから「ヘルプ」を開く
・ステップ2: 「バージョン情報」を選択し、表示されているバージョン番号を確認
・ステップ3: Ver.11.2.0.10721以降であれば対応済み、それ未満であれば更新が必要
10~30台規模の中小企業であれば、専任担当者なしでも半日で全台確認・更新が完了します。
PR(Amazonアソシエイト)
中小企業のIT担当者必携 本気のセキュリティ対策ガイド(佐々木伸彦 著/技術評論社)
IT専任担当者がいない中小企業を想定し、ソフトウェア更新・脆弱性対応・PCの基本運用を実践的に整理しています。今回のような「価格優先で導入したソフトの脆弱性公表」にどう向き合うかの判断軸が身につく1冊です。
5. WPS Office vs Microsoft 365 vs LibreOffice の選択基準
「価格を見直したい」「セキュリティ運用を強化したい」と考える中小企業の決裁者向けに、主要オフィスソフト3製品の比較を整理します。価格は2026年4月時点の公開情報を参考にしており、契約形態・割引によって変動します。
| 比較項目 | WPS Office | Microsoft 365 | LibreOffice |
|---|---|---|---|
| 価格(1ユーザー年額) | 約4,000~6,000円 | 約22,000~30,000円 | 無料(OSS) |
| パッチ配信 | マイページ/契約者用DLページ | Windows Update経由で自動 | 公式サイトから手動 |
| 脆弱性報道 | JVN・公式中心、報道は小 | 主要ITメディアが即日報道 | CVE公表・メーリングリスト |
| 日本語サポート | 法人窓口あり、規模は小 | 認定パートナー全国網 | コミュニティベース |
| Microsoft Office互換性 | 高(マクロは部分対応) | 本家 | 中(マクロ要調整) |
| クラウドストレージ | WPS Cloud(別契約) | OneDrive 1TB標準 | なし(外部連携) |
| 推奨される会社規模 | 個人事業主~10名程度 | 10名以上の法人 | 技術リテラシー前提 |
価格だけで判断するとWPS Office一択になりますが、「脆弱性対応の運用コスト」「情報収集の工数」「サポート窓口の信頼性」を加味すると、社員10名以上の法人ではMicrosoft 365のほうが総コストが下がるケースが多くなります。LibreOfficeは無料ですが、Microsoft Officeとのマクロ互換性に課題があり、取引先との文書やり取りで支障が出やすいため、文書作成が業務の中心となる会社では選択肢から外れがちです。
6. よくある質問(FAQ)
Q1. WPS Officeを使い続けても問題ありませんか?
更新運用を回す体制があれば問題ありません。今回のような脆弱性公表に1週間以内に気づき、その日のうちに全PCを最新版に揃える仕組みがあるかが分岐点です。月1回の確認ルーチン(5分)と、JVN・JPCERT/CCのRSS購読を組み合わせるだけで、業界平均より高い水準の運用が実現できます。
Q2. Microsoft 365への乗り換えは何台規模から検討すべきですか?
明確な分岐点は社員10名前後です。10名未満であればWPS Officeでも運用負荷は許容範囲ですが、10名を超えると「全台のバージョン把握」「全社員への更新指示」「未適用PCの追跡」に専任工数が必要になり、Microsoft 365の中央管理機能(Microsoft 365管理センター)のメリットが大きくなります。
Q3. LibreOfficeに切り替えるのは現実的ですか?
取引先とのExcelファイル・Wordファイルのやり取りが少ない業種(社内文書のみ・PDF配布が中心)であれば現実的です。ただし、取引先から受け取ったExcelマクロが動かない、レイアウトが崩れる等の互換性問題は一定発生します。事前に「主要取引先のファイルが正常に開けるか」を1か月程度試用してから判断することを推奨します。
Q4. 脆弱性公表後、何日以内に対応すべきですか?
CVSS基本値7.0以上の脆弱性は、公表後14日以内の適用が国内中小企業の現実的な目安です。今回のCVE-2018-6400はCVSS v4.0で8.5、CVSS v3.0で7.8の「重要」レベルで、SYSTEM権限奪取に直結するため、1週間以内の適用を推奨します。
Q5. 法人版WPS Officeのパッチ適用は誰が行うべきですか?
専任の情報システム担当者がいる場合はその担当者、不在の場合は「IT窓口」を担う社員(経理部長兼任など)が行います。担当者不在のまま「誰かがやるだろう」の状態が最も危険です。組織図に「IT責任者」を1名明記し、月1回の確認ルーチンを業務に組み込んでください。
Q6. パッチ適用中、業務PCは使えなくなりますか?
WPS Officeのパッチ適用自体は2~5分程度で完了し、再起動が必要なケースもまれにあります。Excel・Word作業の中断時間としては、お昼休みや業務終了後に実施すれば業務影響はほぼゼロです。複数台を同時に更新する場合も、1台ずつ進めれば業務継続できます。
Q7. 攻撃を受けたかどうか、どうすれば判別できますか?
判別は専門知識を要しますが、「ログイン履歴に身に覚えのない時間帯のアクセスがある」「PCが普段より極端に重い」「身に覚えのないファイルが作成されている」といった兆候があれば、専門業者への調査依頼を検討してください。中小企業の場合、IPAの「中小企業の情報セキュリティ相談窓口」を活用するのも有効です。
Q8. クラウドサービス中心の会社ですが、関係ありますか?
関係あります。クラウドサービスで作業した文書を、最終的にローカルPCで編集・保存しているケースは多く、その編集にWPS Officeを使っていれば対象です。「クラウドだから安全」ではなく、「クラウドにつなぐPC上のソフトウェアがすべて最新か」を確認してください。
7. まとめ:価格優先の選定基準を、運用負荷を含めた総コストへ
2026年5月のWPS Office脆弱性は、CVSS基本値8.5(v4.0)・SYSTEM権限奪取という、中小企業にとって看過できない規模の事案です。修正版の適用自体は1台あたり2~5分の作業で、技術的には難しい話ではありません。問題は「公表に気づくか・気づかないか」「運用ルールがあるか・ないか」の2点に集約されます。
価格でWPS Officeを選んだ中小企業の決裁者にとって、今回の脆弱性公表は「価格優先の選定基準」を見直す絶好のタイミングです。年20万円の差額で得たコスト削減を、脆弱性対応の運用コスト・情報収集コスト・万一の被害コストで相殺していないか、棚卸しすべきです。
経営者が今すぐやるべきチェックリスト 7項目
本記事を読み終わったら、次の7項目を1週間以内に実施してください。所要時間は会社規模により合計2~4時間です。
・1. 自社の利用ソフトウェアの棚卸し: オフィスソフトとして何を使っているか全PC分を確認
・2. WPS Officeバージョン確認: 全PCで「ヘルプ」→「バージョン情報」を確認
・3. 修正版適用の実施: Ver.11.2.0.10721以降へ更新(業務時間外を推奨)
・4. IT責任者の明確化: 組織図に「IT責任者」を1名明記(経理部長兼任等でも可)
・5. 脆弱性情報の購読設定: JPCERT/CC週次レポート・JVNのRSS購読を設定
・6. 月次確認ルーチンの予定化: 第1営業日の朝5分を更新確認時間として確保
・7. オフィスソフトの選択再検討: 社員10名以上ならMicrosoft 365との総コスト比較を実施
機種別の詳細手順や、自社の状況に応じた具体的な対応判断に不安がある場合は、社外の相談先を持っておくことが中小企業の経営リスク管理として有効です。
PR(Amazonアソシエイト)
経営者のための情報セキュリティQ&A45(北條孝佳 著/日本経済新聞出版)
経営者目線で情報セキュリティの判断基準を45の問答形式で整理した1冊。ソフトウェア選定基準・脆弱性対応の社内ルール・取引先への説明責任まで、経営判断に直結する論点が網羅されています。今回のような脆弱性公表時の経営会議資料としても活用できます。
専任の情報システム担当者がいない中小企業ほど、こうした脆弱性対応は属人化しがちで、結果として手つかずになる傾向があります。逆に言えば、月1回5分の確認ルーチンと「IT責任者」1名の明確化があるだけで、業界平均よりはるかに高い水準の運用が実現できます。
「業務PCの中で完結し、情報を外に出さない社内専用AI(ローカルLLM)」のような新しい業務効率化を検討されている経営者の方は、その土台として社内PC・ソフトウェアの基本的な健全性確保が前提になります。社内専用AIの導入前に、まずオフィスソフトの更新運用から始めることを強くおすすめします。
イーネットマーキュリーでは、中小企業の経営者と情報システム担当者向けに、社内専用AI導入の前段階として「現状のPC・ソフトウェア・ファイル管理の棚卸し」から伴走する相談窓口を用意しています。今回のような脆弱性対応の運用ルール作りも含めて、業務に即した形でご支援します。
参考:JPCERT/CC週次レポート 2026年5月20日号 / JVN#14434132 / WPS株式会社 公式告知 2026-05-14
