マイクロソフトからの発表によると、コードCVE-2026-20841の脆弱性は、CVSS(ソフトウェア/ハードウェアセキュリティ脆弱性の重大性を評価および定量化するために使用されるオープンエンド産業標準システム)のスケールで8/7.7のスコアで、非常に深刻であると評価されています。
この脆弱性により、攻撃者はユーザーを騙して、メモ帳で開かれたマークダウンファイルに挿入された悪意のあるリンクをクリックさせることができます。
その場合、アプリケーションは検証されていないプロトコルを起動し、ダウンロードしてファイルをリモートで実行できます。
言い換えれば、ハッカーは悪意のあるリンクを含むMarkdownファイルを作成する可能性があります。ユーザーが誤ってクリックした場合、マルウェアがダウンロードされてシステム上で実行される可能性があり、それによってデバイスの制御、データの盗難、またはスパイウェアのインストールへの道が開かれます。
脆弱性は、2026年2月の Patch Tuesdayアップデートで修正されました。マイクロソフトは、安全を確保するために、Windowsユーザーに最新のパッチを迅速にインストールすることを推奨しています。
同社はまた、発表時点では、この脆弱性が公然と悪用された事例は記録されていないと述べました。
特筆すべきは、この事件がNotepad++(一般的な代替文書作成ツール)の開発者が、インフラストラクチャがハッカーに侵入されたと発表したわずか1日後に発生し、文書作成ツールのセキュリティに対する懸念が高まっていることです。
以前は、メモ帳は単純なオフラインで動作するテキストエディターにすぎませんでした。しかし、昨年5月から、マイクロソフトはアプリケーションを再設計し、マークダウンとオンライン機能のサポートを追加しました。
特に、Notepadは現在、Microsoft Copilot AIアシスタントにサービスを提供するためにインターネットに接続できます。
この機能の拡張により、多くのユーザーは、基本的なテキストプロセッサが頻繁にネットワークにアクセスする必要があるかどうか疑問に思っています。
近年、マイクロソフトは、メモ帳やペイントなどのコアアプリケーションにCopilotとAIツールを統合したとして、多くの批判にさらされています。
それにもかかわらず、セキュリティ専門家は、最大のリスクはアプリケーション自体にあるのではなく、ユーザーが奇妙なファイルやリンクに対して警戒心を欠いていることにあると強調しています。
システムを定期的に更新することは、ますます洗練された脅威からデバイスを保護するための最も重要な対策です。
