Microsoft、2026年最初の「Windows Update」を実施 ～OS、Word、Excelなどに致命的な脆弱性

Microsoft、2026年1月の「Windows Update」「Microsoft Update」を実施

　米Microsoftは1月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで112件（サードパーティーも含めると114件）の脆弱性が新たに対処されている。

　このうち、すでに悪用の事実が確認されているゼロデイ脆弱性は1件。すべてのサポート中バージョンのWindowsに影響する。

• CVE-2026-20805：デスクトップ ウィンドウ マネージャーの情報漏えいの脆弱性

　攻撃手法が公開されている脆弱性は3件。

• CVE-2023-31096：Windows Agere ソフト モデム ドライバーの特権昇格の脆弱性（サードパーティー）
• CVE-2026-21265：セキュア ブート証明書の有効期限切れによるセキュリティ機能バイパスの脆弱性
• CVE-2024-55414：Windows Motorola ソフト モデム ドライバーの特権昇格の脆弱性

　いずれも深刻度の評価は「Important」にとどまるが、警戒が必要だ。

　深刻度が最高の「Critical」と評価された脆弱性は、以下の8件。Windowsのセキュリティ機能、「Microsoft Office」、「Word」、「Excel」などに影響する。

• CVE-2026-20955：Microsoft Excel のリモートでコードが実行される脆弱性
• CVE-2026-20957：Microsoft Excel のリモートでコードが実行される脆弱性
• CVE-2026-20952：Microsoft Office のリモートでコードが実行される脆弱性
• CVE-2026-20953：Microsoft Office のリモートでコードが実行される脆弱性
• CVE-2026-20944：Microsoft Word のリモートでコードが実行される脆弱性
• CVE-2026-20822：Windows Graphics コンポーネントの特権の昇格の脆弱性
• CVE-2026-20854：Windows ローカル セキュリティ機関サブシステム サービス (LSASS) のリモートでコードが実行される脆弱性
• CVE-2026-20876：Windows 仮想化ベースのセキュリティ (VBS) エンクレーブの特権昇格の脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

• Windows 11 バージョン 25H2：KB5074109
• Windows 11 バージョン 24H2：KB5074109
• Windows 11 バージョン 23H2：KB5073455
• Windows 10 バージョン 22H2（Windows 10 ESU）：KB5073724
• Windows Server 2025：KB5073379
• Windows Server 2022：KB5073457
• Windows Server 2019：KB5073723
• Windows Server 2016：KB5073722

　「Windows 10 バージョン 22H2」は一般向けのサポートが終了しており、「拡張セキュリティ更新プログラム」（Extended Security Update：ESU）に登録しないとセキュリティパッチを受け取れない点には注意。

　「Windows 11 バージョン 25H2」におけるハイライトは以下の通り。先月末は年末休暇のためプレビューパッチの提供がなかったので、不具合の修正が中心だ。

• Windows 更新プログラムをインストールするコンポーネントである「サービス スタック」の品質を向上
• 「Azure Virtual Desktop」（AVD）環境で「RemoteApp」接続が失敗する問題に対処。2025年11月のプレビューパッチ「KB5070311」の適用後に発生する可能性があった
• ニューラル処理ユニット（NPU）を搭載したデバイスがアイドル状態でも電源がオンのままになる可能性がある問題を解決

　なお、「バージョン 25H2」のOSコアは「バージョン 24H2」と共有だ。そのため、これらの改善は「バージョン 24H2」環境にももたらされる。

Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

• Microsoft Office の 2026 年 1 月の更新プログラム - Microsoft サポート
• Release notes for Microsoft Office security updates - Office release notes

　深刻度「Critical」の脆弱性修正が含まれているので、できるだけ早い対応が望ましい。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間1月8日にリリースされたv143.0.3650.139。

Microsoft SQL Server

　「Microsoft SQL Server」関連では、1件の脆弱性が修正された。

• CVE-2026-20803（重要：特権の昇格）

Microsoft SharePoint

　「Microsoft SharePoint」関連でも、6件の脆弱性が修正された。

• CVE-2026-20943（重要：リモートでコードが実行される）
• CVE-2026-20947（重要：リモートでコードが実行される）
• CVE-2026-20951（重要：リモートでコードが実行される）
• CVE-2026-20958（重要：情報漏えい）
• CVE-2026-20959（重要：なりすまし）
• CVE-2026-20963（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。

• Windows SDK：1件（重要）
• Windows Admin Center in Azure Portal：1件（重要）
• Azure Core shared client library for Python：1件（重要）
• Azure Connected Machine Agent：1件（重要）