113件を一挙修正のMicrosoft 2026年1月パッチ、悪用確認ゼロデイとOffice RCEが示す“ユーザー起点”の実戦リスクです

今日の深掘りポイント

• 少なくとも1件の悪用確認ゼロデイ（CVE-2026-20805）はCVSSが中程度でも、実運用では高リスクに化ける典型例です。
• OfficeのRCE（CVE-2026-20952/20953）は社会工学依存の侵入経路を強化し、役員・営業・設計など“文書を開く人”が一次被害者になりがちです。
• プレビューウィンドウ経由が成立するなら、ユーザーのクリックを待たない“無摩擦”攻撃面が広がるため、控えめに言って優先度は高いです（成立可否は各組織の設定差に強く依存します）。
• CVSS値より「攻撃連鎖における位置づけ」と「露出しているユーザ群」を軸にパッチ優先度を組むのが現実解です。
• パッチ適用の遅延を前提に、ASRルールやMOTW・Protected Viewといった“減災”を同時に走らせる体制が、今月の差分を安全に飲み込む鍵です。

はじめに

2026年最初のPatch Tuesdayは、Microsoft製品に対する113件のCVE修正という大盤振る舞いで幕を開けました。分類はクリティカル8件、重要105件。注目は、すでに悪用が確認されたゼロデイであるDesktop Window Manager（DWM）の情報漏えい（CVE-2026-20805）と、Microsoft Officeにおけるリモートコード実行（CVE-2026-20952/20953）です。後者は社会工学と相性が良く、現場の“人の作業”に寄り添う形で攻撃面が開くため、技術評価以上に事業インパクトを伴いやすい更新です。

本稿では、数値の表層に留まらず、攻撃者の連鎖の中でこれらの欠陥がどのように使われ得るか、そして国内エンタープライズの運用にどう落とし込むかを掘り下げます。

参考情報（一次・二次情報）として、Microsoftのセキュリティ更新ガイドおよびTenableの集約解説を付しています。一次情報の確認を前提に適用判断を進めてください。

• Microsoft Security Update Guide（リリースノートの月次一覧）: https://msrc.microsoft.com/update-guide
• Tenable: Microsoft’s January 2026 Patch Tuesday addresses 113 CVEs, including exploited zero-day CVE-2026-20805（英語）: https://www.tenable.com/blog/microsofts-january-2026-patch-tuesday-addresses-113-cves-cve-2026-20805

深掘り詳細

事実関係の整理（Patch Tuesday 2026年1月）

• 今月は計113件のCVEが修正（クリティカル8、重要105）。少なくとも1件のゼロデイ悪用が確認済みです。Tenableの集約解説より。
• CVE-2026-20805（DWMの情報漏えい）
  • 種別: 情報漏えい。CVSSv3は5.5（中程度）とされます。
  • “悪用確認”の報により、攻撃連鎖のどこかで実戦投入済みであることが示唆されます。単体での致命打というより、他の脆弱性やエクスプロイトの信頼性を高める“土台”として使われがちな性質です。
• CVE-2026-20952 / CVE-2026-20953（Microsoft OfficeのRCE）
  • 種別: リモートコード実行。CVSSv3は8.4（高）。
  • 悪性ドキュメントを介した実行が中心。社会工学を伴うキャンペーンとの相性が良く、組織の掲示板やチャット経由の拡散も想定されます。
  • 一部報道ではプレビューウィンドウ（Preview Pane）経由の悪用可能性にも言及がありますが、成立は環境設定や保護機能の有効化状況に依存します（仮説を含みます）。

上記の個別詳細は、最終的にはMicrosoft Security Update Guide上の各CVEページで影響範囲と回避策を一次確認してください。

編集部のインサイト：CVSSより“運用曝露”を見るべき理由

• DWMの情報漏えいはCVSSが中程度でも、実際の侵害連鎖では「ASLRバイパスやアドレス情報の露見」などにより、RCE/LPEの成功率を底上げする“支援役”になり得ます。つまり単体の深刻度より、他の欠陥やマルウェアの安定化に与える寄与度で危険性を判断すべきです。
• OfficeのRCEは技術的条件よりも「人がファイルをどう扱うか」にリスクが寄り、組織文化・働き方の影響が支配的です。役員秘書や営業、購買など、外部とファイル授受が多い部門は曝露が高く、同じ会社でも端末ごとにリスク差が生じます。ここに“横並びパッチ”ではなく“曝露ベースの優先度”が必要な理由があります。
• プレビューウィンドウ経由が成立する場合、ユーザーの能動操作を必要としない“無摩擦”ベクトルとなり、攻撃者にとっては配布効率が飛躍的に向上します。Protected View、MOTWの尊重、ASRルールなど既存の保護機能がどれほど効いているかを棚卸す好機です。

パッチ優先度の現実的な並べ方（示唆）

• 優先度A: Office製品が実働している端末群（特に外部と文書授受の多い部門、端末持ち出しの多い役職）。ここは最短SLAで適用し、適用までの暫定措置（ASR、マクロ制御、プレビュー抑止）を併走させます。
• 優先度B: 高価値ターゲット（経営層、開発者、VDI共有サーバ、ジャンプサーバ）。攻撃連鎖の踏み台にされると影響が大きい層です。
• 優先度C: サーバ群のうち、DWM影響が限定的なロールは通常SLAで。とはいえ、後続の累積更新との整合も考え、今月内の計画適用を崩さないことが肝要です。

脅威シナリオと影響

以下は編集部の仮説に基づく想定シナリオです。環境設定や既存対策で成立可否は変わります。

• シナリオ1：スピアフィッシング添付によるOffice RCE

  • 概要: 攻撃者が業務文脈を装ったOffice文書を配布し、標的端末でRCEを成立させる。初期侵入後はPowerShell等でローダを取得し、C2通信を確立。
  • 想定ATT&CK
    • T1566.001（Spearphishing Attachment）
    • T1204.002（User Execution: Malicious File）
    • T1059.001（Command and Scripting Interpreter: PowerShell）
    • T1105（Ingress Tool Transfer）
    • T1071.001（Application Layer Protocol: Web Protocols）
    • T1055（Process Injection）/ T1027（Obfuscated/Compressed Files & Information）
  • 影響: 部門単位の端末数台から、横展開によりドメイン内移動へ波及。EDR未導入の島が突破口になりやすいです。

• シナリオ2：DWM情報漏えいを用いたエクスプロイト安定化（チェーンの一部）

  • 概要: 既にコード実行に成功している攻撃者が、DWMの情報漏えいでアドレス情報を取得し、別のLPE/RCEを安定化させる。
  • 想定ATT&CK
    • T1068（Exploitation for Privilege Escalation）
    • T1040（Network Sniffing）やT1082（System Information Discovery）は環境把握の補助的技術として併用され得ます（一般論）。
  • 影響: LPEの成功率上昇、サンドボックス回避、ドメイン権限奪取までの時間短縮。DWM単体では致命打でなくとも連鎖の加速剤になります。

• シナリオ3（条件付き）：プレビューウィンドウ経由のトリガー

  • 概要: ファイルを開かずプレビュー表示やインデックス処理でコード実行が誘発されるケース。組織設定とOS/Officeの保護機構の有効化状況によっては成立しない可能性があります（仮説）。
  • 想定ATT&CK
    • T1204（User Execution）ないし、ユーザー介在度の低い自動実行に近い形
  • 影響: SecOps側の“本人は開いていない”という主張と実態が食い違い、インシデント分析が難航。初動検知機会が減ります。

セキュリティ担当者のアクション

• 48時間以内

  • 影響資産の棚卸しと露出の高いユーザー群の特定（役員、営業、購買、設計、現場常駐、外部委託先端末など）。
  • Office更新の優先展開ポリシーを適用（Intune/ConfigMgrの優先リング、オフライン端末の暫定隔離）。
  • 暫定ハードニング（パッチ適用までの減災）
    • ASRルール有効化の再点検（例：「Officeからの子プロセス生成をブロック」「OfficeでのWin32 API呼び出しをブロック」など）。
    • インターネット由来マクロのブロック、Protected Viewの強制、MOTWの尊重を確認。
    • ファイルエクスプローラのプレビューウィンドウ無効化の検討（標準運用に与える影響を要評価）。
  • 監視強化
    • Officeプロセス（WINWORD/EXCEL/POWERPNT）からの不審な子プロセス（cmd/powershell/wscript/mshta/regsvr32等）をハイシグナルで検出。
    • 新規のC2ドメイン/未知実行ファイルの出現をプロキシ・EDRで相関監視。

• 7日以内

  • Windows累積更新・Office更新の本番展開完了、未適用端末の例外是正。
  • 高価値端末（HVA）と共有サーバ/VDIでの適用完了と後方互換テスト。
  • メール・コラボレーション基盤でのルール見直し
    • 添付の隔離・サンドボックス動作の厳格化、拡張子・コンテンツタイプによる分離ポリシー更新。
  • 攻撃兆候のハンティング
    • 直近2週間のメール投函ログ、添付サンドボックス解析結果、エンドポイントのスクリプト実行履歴の横断相関。

• 継続施策

  • パッチSLAを“資産クリティカル度×曝露度”で再設計し、全端末横並びからの脱却。
  • WDAC/AppLockerの段階的適用、ローカル管理者の最小化、ブラウザ/Officeのダウンロード既定禁止の検討。
  • 取引先・委託先向けに「受け渡しファイルの標準形式」「パスワード別送」等の運用ガイドラインをアップデートし、社会工学の踏み台を減らします。
  • インシデント対応演習で「本人は開いていないがプレビューで感染」が疑われるケースの手順を事前整備（仮説シナリオ対応）。

最後に、このニュースは新規性の高さよりも、緊急性・実行可能性・信頼性が際立っています。つまり“今すぐ動けば減らせる被害”の類です。パッチ適用と運用減災の二本立てで、ユーザー起点の攻撃面を今月のうちに確実に狭めていきたいところです。

参考情報

• Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide
• Tenable: https://www.tenable.com/blog/microsofts-january-2026-patch-tuesday-addresses-113-cves-cve-2026-20805