「うちの社員は怪しいメールを開かないよう教育している」――その前提が、今回の脆弱性では通用しません。
2026年6月9日にマイクロソフトが公表したOutlookとWordの重大な弱点は、メールを「開く」必要すらありません。プレビュー画面に表示された瞬間に、社内のパソコンが攻撃者に乗っ取られる恐れがあります。本記事では、技術用語を最小限にして、決裁者が「自社で今週どこから手を付けるべきか」を優先順位の形で整理します。修正プログラムはすでに提供されており、判断を先送りにしないことが最大の防御になります。
何が起きたのか――「プレビューしただけ」で侵入される理由
2026年6月9日、マイクロソフトは月例のセキュリティ更新で、OutlookとWordに関わる3件の深刻な弱点を公表しました。いずれも「遠隔から悪意あるコードを実行される(リモートコード実行)」タイプで、危険度を示す共通指標であるCVSS値は3件とも8.4です。10点満点で8点台は「重大」に分類される水準です。
決裁者が押さえるべき要点は1つです。今回の攻撃は、社員が添付ファイルを開く操作を必要としません。
メールソフトのOutlook(従来型)は、メール本文を画面に描画する処理に、文書ソフトWordの表示エンジンを流用しています。そのため、細工されたメールが届き、プレビュー画面(メール一覧の横や下に本文が表示される領域)にそれが映し出された瞬間に、攻撃が成立しうるのです。
つまり「ファイルを開いた」ではなく「メールが表示された」という、社員が最も無防備な瞬間が侵入口になります。「怪しいものは開くな」「不審な添付は触るな」という従来の社員教育は今も有効ですが、それだけでは今回の攻撃を防ぎきれない、という点が本質です。人の注意力に頼る対策には限界があり、最終的には端末側の修正プログラムでふさぐしかありません。だからこそ、決裁者が「更新を全台に行き渡らせる」判断を下すことが、社員教育以上に効く対策になります。
公表された3件の弱点(執筆時点=2026年6月時点)
・CVE-2026-45456: 型の取り違えに起因するリモートコード実行(CVSS 8.4)
・CVE-2026-45458: メモリの解放後使用に起因するリモートコード実行(CVSS 8.4)
・CVE-2026-47635: メモリ領域のあふれに起因するリモートコード実行(CVSS 8.4)
「CVE」とは、世界共通で弱点に振られる管理番号です。番号自体を覚える必要はありませんが、自社のIT担当者や委託先と話すときに「6月公表のOutlook/Wordの3件」と伝えれば話が通じます。3件すべてで、プレビュー画面が攻撃の入り口になりうる点が共通しています。
自社は影響を受けるのか――対象となる製品
今回の弱点は、特定のバージョンのOutlook・Word・Officeに影響します。マイクロソフトが影響対象として挙げているのは、主に次の製品です。
・Outlook(クラシック版): 従来型のデスクトップ向けメールソフト。今回の中核
・Word: 文書ソフト。Outlookの表示エンジンとしても関与
・Microsoft Office LTSC 2024: 買い切り型のOffice(32ビット版・64ビット版)
・Office LTSC for Mac 2021/2024: Mac向けの買い切り型Office
・Microsoft 365 for Mac: Mac向けの月額型Office
中小企業の現場では、「自社がどのバージョンを使っているか正確に把握していない」ことが珍しくありません。月額契約のMicrosoft 365を使っている会社、数年前に買い切りのOfficeをまとめて導入した会社、両方が混在している会社――いずれも今回の対象に該当する可能性があります。まずは「うちは関係ある側かもしれない」と捉えるのが安全です。
決裁者が今週やるべきことの優先順位
弱点の詳細を技術的に理解する必要はありません。経営判断として必要なのは「誰に・何を・いつまでに」を決めることです。技術的な対応そのものは担当者や委託先に任せられますが、「いつまでに完了させ、誰が完了を確認するか」を決めるのは決裁者の役割です。優先度の高い順に整理します。
1. 更新プログラムの適用状況を即日確認させる
最優先は、修正プログラム(すでに提供済み)が自社の全パソコンに当たっているかの確認です。IT担当者がいる会社は担当者へ、いない会社は委託しているIT業者へ、「6月のOffice更新が全台に適用されたか」を今週中に報告させてください。自動更新が有効でも、再起動を後回しにしていて適用が完了していない端末は実務上よく残ります。
2. プレビュー画面の一時的な扱いを判断する
更新の適用が完了するまでの一時策として、Outlookのプレビュー表示をオフにする運用を検討する余地があります。プレビューをオフにすると、メール本文は「開く」操作をしない限り描画されないため、表示だけで成立する攻撃の入り口を一段狭められます。利便性とのバランスがあるため、全社一律にするか、機微な情報を扱う部署だけにするかは決裁者が判断する領域です。
3. 「適用済み」を台帳で裏取りする
「対応しました」という口頭報告で終わらせず、対象台数・適用済み台数・未適用端末の理由を一覧(台帳)で残させてください。後日「あの端末だけ漏れていた」という事故は、台帳の有無で結果が変わります。
比較表:今回の弱点に対する3つの対応スタンス
自社がどのスタンスで臨むかを、経営判断として選ぶための比較表です。
| 項目 | 放置・様子見 | 更新適用のみ | 更新+運用見直し |
|---|---|---|---|
| 侵入リスク | 高いまま | 大きく低減 | 最も低い |
| 今週の手間 | なし | 小(確認と適用) | 中(台帳・運用整備) |
| プレビュー経由の入口 | 開いたまま | 修正で塞がる | 修正+表示制御で二重に縮小 |
| 再発時の備え | なし | 限定的 | 仕組みとして残る |
| 向いている会社 | なし(推奨しない) | 少人数・端末管理が容易 | 顧客情報を多く扱う・拠点が複数 |
放置は推奨しません。最低でも「更新適用のみ」、顧客情報や図面・契約書など外に出せない情報を多く扱う会社は「更新+運用見直し」を選ぶのが妥当です。
PR
経営者のための 情報セキュリティQ&A45(北條孝佳/日本経済新聞出版)
元警察庁の技術系職員でサイバー攻撃分析に長く携わった著者が、経営者目線でセキュリティの判断材料を一問一答で示した一冊です。技術の細部ではなく「経営として何をどう決めるか」を整理したい決裁者の最初の一冊として向いています。
経営判断として押さえておきたい2つの視点
優先順位に沿った対応を進めるうえで、決裁者が背景として持っておくべき視点が2つあります。技術ではなく、経営判断の前提となる考え方です。
視点1:「うちは小さいから狙われない」は誤解
今回のような弱点を悪用する攻撃は、特定の大企業を狙い撃ちするとは限りません。むしろ、細工したメールを不特定多数にばらまき、更新が遅れている会社を機械的に踏み台にする手口が一般的です。会社の規模や知名度は、狙われるかどうかとほとんど関係がありません。攻撃側からすれば、相手が大企業か中小企業かを選んでいるのではなく、「弱点がふさがれていない端末」を探しているだけだからです。
中小企業が侵入されると、自社の被害だけでは終わらないことがあります。取引先や顧客にウイルス付きメールを送ってしまう、預かっている顧客情報が漏れる、得意先の社内ネットワークにまで侵入の足がかりを与えてしまう、といった形で、信用そのものを損なう連鎖が起きます。「自社の端末1台」の問題に見えて、実際には取引関係全体に波及しうる、という視点が決裁者には必要です。一度失った取引先からの信用は、技術的な復旧が終わっても簡単には戻りません。
視点2:情報を外に出さない仕組みと「足元の更新管理」は地続き
近年、顧客情報や社内文書を外部のクラウドサービスに送らず、情報を外に出さない社内専用AI(ローカルLLM)を自社内に置く中小企業が増えています。今回の話題は直接そこに関わるものではありませんが、考え方は地続きです。
社内専用AIを導入する企業は、「重要な情報を社外に出さない」という設計思想を持っています。同じ思想を、メールやOfficeといった日常の道具にも当てはめるべきです。自社サーバー内AIで情報管理を厳格にしている一方で、メールソフトの更新を放置している、という状態は一貫していません。情報を守る姿勢は、高価な仕組みを買うことではなく、足元の更新管理を確実に回すことから始まります。今回の脆弱性への対応は、その姿勢が社内に根づいているかを点検する好機でもあります。更新の確認を「面倒な作業」ではなく「自社の信用を守る経営活動」として位置づけられるかどうかが、決裁者に問われています。
PR
中小企業のIT担当者必携 本気のセキュリティ対策ガイド(佐々木伸彦/技術評論社)
専任のIT担当が置けない規模の会社が、更新管理やメール経由の攻撃にどう備えるかを実務目線でまとめた一冊です。今回のような「更新を全台に行き渡らせる仕組み」を社内に作りたい会社の参考になります。
よくある質問
Q. 自動更新を有効にしていれば対応済みと考えてよいですか
完全には言い切れません。自動更新が有効でも、更新の取得後に再起動していない端末は適用が完了していないことがあります。ノートパソコンを持ち歩いていてスリープ運用が中心の社員などで起きがちです。「自動更新が有効」と「全台で適用完了」は別物として、適用完了を確認してください。
Q. Mac版のOfficeも対象ですか
今回はMac向けのOffice(買い切り型のOffice LTSC for Mac 2021/2024、月額型のMicrosoft 365 for Mac)も影響対象として挙げられています。Windowsだけの問題ではない点に注意してください。
Q. すでに攻撃を受けていないか、どう確認すればよいですか
本記事の執筆時点で、悪用の実態について断定できる公開情報はありません。心配な場合は、IT担当者または委託先に「不審な通信や見覚えのない動作がないか」を点検させ、まずは更新適用と運用見直しを優先してください。被害の有無を自力で正確に判定するのは難しいため、専門家への相談が確実です。
Q. 修正プログラムを当てると業務に支障が出ませんか
今回の修正は弱点をふさぐためのものであり、通常は業務機能に影響しません。それでも不安がある場合は、まず一部の端末で適用して動作を確認し、問題がなければ全台へ広げる、という段階適用が安全です。
Q. うちは小さい会社なので後回しでよいですか
規模は狙われやすさとほぼ関係ありません。むしろ更新が遅れている会社が機械的に狙われます。後回しにせず、今週中の確認を推奨します。
導入前チェックリスト
決裁者が社内・委託先に確認・指示すべき項目です。
・確認1: 6月公表のOutlook/Word更新が全台に適用済みか、報告期限を切って確認させたか
・確認2: 自動更新が有効でも、再起動未実施で未適用の端末が残っていないか
・確認3: 適用済み・未適用を台帳(一覧)で裏取りしたか
・確認4: 適用完了までの一時策として、プレビュー表示の扱いを判断したか
・確認5: 顧客情報・契約書・図面など外に出せない情報を扱う端末を優先したか
・確認6: 取引先へのウイルス拡散など、二次被害の連絡体制を確認したか
本記事のまとめ
2026年6月9日に公表されたOutlookとWordの3件の弱点は、いずれも危険度8.4のリモートコード実行で、プレビュー画面に表示しただけで侵入されうる点が特徴です。社員教育だけでは防ぎきれないため、決裁者の判断で「更新適用の確認」「プレビュー表示の扱い」「台帳での裏取り」を今週中に進めることが、最も費用対効果の高い対応です。修正プログラムはすでに提供されています。判断を先送りにしないこと自体が、この種の攻撃に対する最大の防御になります。
自社の更新管理や、情報を外に出さない社内専用AIの導入を含めた社内のIT体制について整理したい場合は、お気軽にご相談ください。
社内のセキュリティ体制・社内専用AI導入のご相談
「更新管理を仕組みにしたい」「顧客情報を外に出さずにAIを使いたい」――中小企業の決裁者の視点で、自社に合ったIT体制づくりをご支援します。初回ヒアリング(60分以内・オンライン)は無料です。
