概要

マイクロソフトは、Windows、Office、およびその他の製品にわたる114件の脆弱性に対処する2026年1月パッチチューズデーのセキュリティ更新プログラムをリリースしました。この更新には、3件の活発に悪用されているゼロデイ脆弱性と、システム管理者が直ちに対処する必要がある12件の緊急度の高い脆弱性が含まれています。

脆弱性の内訳

2026年1月のリリースでは、多岐にわたるセキュリティ問題が対処されています。最も多いカテゴリは、57件の特権昇格の脆弱性です。リモートコード実行の脆弱性は22件、情報漏えいの脆弱性も22件に上ります。その他、サービス拒否の脆弱性が2件、なりすましの脆弱性が5件、セキュリティ機能バイパスの問題が3件、改ざんの脆弱性が3件含まれています。

特に重要な脆弱性

マイクロソフトによると、緊急度の高い脆弱性は主にWindowsのコアサービスとMicrosoft Officeアプリケーションに影響を与えます。以下は、特に重要な脆弱性の一部です。

• CVE-2026-20854: Windows LSASS の解放後使用によるネットワーク経由で悪用可能なRCE
• CVE-2026-20944: Microsoft Word の境界外読み取りによるRCE
• CVE-2026-20953: Microsoft Office の解放後使用によるRCE
• CVE-2026-20952: Microsoft Office の解放後使用によるRCE
• CVE-2026-20955: Microsoft Excel のポインタ処理によるRCE
• CVE-2026-20957: Microsoft Excel の整数アンダーフローによるRCE
• CVE-2026-20822: Windows Graphics Component の解放後使用による特権昇格
• CVE-2026-20876: Windows VBS Enclave の解放後使用による特権昇格

Windowsのローカルセキュリティ認証サブシステムサービス (LSASS) とOffice製品におけるリモートコード実行の欠陥は、特にインターネットに接続されたシステムを持つ企業にとって、重大なリスクをもたらします。特権昇格の問題は、Windowsカーネルドライバ、管理サービス、およびSMBサーバコンポーネントで多く確認されています。

悪用が確認されたゼロデイ脆弱性

今回のリリースで修正されたゼロデイ脆弱性のうち、3件がすでに活発に悪用されていることが確認されています。

• CVE-2026-20805: Desktop Window Managerに影響し、情報漏えいを引き起こし、攻撃者が許可なく機密データにアクセスできるようにします。Check Pointのセキュリティ研究者はこの脆弱性を「高深刻度」と評価しており、マイクロソフトは2026年1月13日時点で活発な悪用を確認しています。
• CVE-2026-21265: Windows Digital Mediaコンポーネントを標的とし、攻撃者に特権昇格の機能を提供します。この脆弱性は、初期アクセスと特権昇格を組み合わせてシステムを完全に侵害する連鎖攻撃で一般的に使用されます。
• CVE-2023-31096: Windows Agere Soft Modem Driverに関連する特権昇格の脆弱性で、以前に割り当てられた日付にもかかわらず、2026年1月の累積的な更新プログラムでバックポートされた修正として登場しています。

元記事: https://gbhackers.com/microsoft-january-2026-patch-tuesday/