かつてWindowsにおいて最もシンプルで、最も信頼されていたツールといえば「メモ帳」だった。装飾もなければ、インターネットとの接点もない。その無味乾燥な潔さこそが、多くのエンジニアやライターに愛される理由であった。しかし、Microsoftはその聖域に手を加え、不要な「進化」を強いた。その結果、メモ帳は今や攻撃者がPCを完全に乗っ取るための踏み台へと成り下がってしまった。
2026年2月の「Patch Tuesday(月例セキュリティ更新プログラム)」において、Microsoftはメモ帳に関する深刻な脆弱性、CVE-2026-20841を修正した。これはリモートコード実行(RCE)を許すものであり、被害者が悪意のあるファイルを開き、中にあるリンクを一度クリックするだけで、攻撃者は被害者のPC上で任意のコマンドを実行できるというものだ。
メモ帳が「武器」に変わるまで
今回の脆弱性は、メモ帳が近年進めてきた「高機能化」の代償にほかならない。長年、単なるプレーンテキストエディタであったメモ帳は、MicrosoftがWordpadの開発を終了したことに伴い、その役割を継承するかのように複雑な機能を吸収し始めた。
特に致命的だったのが、2025年7月に追加された「Markdown(.md)」形式へのネイティブ対応だ。Markdownは軽量なマークアップ言語として便利ではあるが、これをプレーンテキストエディタでレンダリング(視覚化)しようとすれば、プログラム側で特殊な文字やコマンドを解釈する必要が生じる。CVE-2026-20841は、このコマンド処理における「特殊要素の不適切な中立化(CWE-77)」に起因している。
具体的には、悪意のある攻撃者が特別に細工したMarkdownファイルを被害者に送り、被害者がそれをメモ帳で開く。ファイル内には一見無害な、あるいは信頼できるサイトを装ったハイパーリンクが含まれているが、このリンクには独自のカスタムスキームや検証されていないプロトコルが仕込まれている。被害者がこのリンクをクリックした瞬間、メモ帳は外部のサーバーから悪意のあるファイルを読み込み、コマンドインジェクションを介して攻撃者のコードを被害者の権限で実行する。
CVSS v3.1(共通脆弱性評価システム)におけるベーススコアは8.8。Microsoftはこれを「重要(Important)」と格付けしている。被害者が管理者権限でログインしていれば、攻撃者はシステム全体の制御権を手に入れることさえ可能だ。
AIという「余計なお世話」が招いた接続性
なぜ、メモ帳にこれほどまでの危険性が潜むようになったのか。その背景には、Microsoftが全社を挙げて推進しているAIブランド「Copilot」の統合がある。
現在のモダンなWindowsメモ帳(Microsoft Store版)には、Copilotを利用した文章生成や要約といったAI機能が搭載されている。テキストエディタにAIが必要かどうかという議論はさておき、AI機能を機能させるためには、アプリが常にMicrosoftのクラウドサービスと通信し、ネットワークに接続されている必要がある。
かつてのメモ帳は、完全にローカルで完結する「安全な孤島」だった。しかし、AIや自動保存、そして今回の問題となったMarkdown対応などの機能を詰め込んだことで、メモ帳は今や高度にネットワーク化された複雑なアプリケーションへと変貌した。複雑さはセキュリティの敵である。機能が増え、コードベースが巨大化すれば、それだけ攻撃対象領域(アタックサーフェス)は広がる。ユーザーやセキュリティ専門家からは「なぜテキストエディタにネットワーク接続が必要なのか」という当然の疑問が投げかけられているが、Microsoftは「ユーザー体験の向上」という名目のもと、この肥大化を止める気配はない。
現代のメモ帳とレガシー版の決定的な違い
ここで重要なのは、今回脆弱性が見つかったのはMicrosoft Storeを通じて配布・更新されている「モダン版」のメモ帳であるという点だ。
Windows 11に標準搭載されているこのモダン版は、WinUI 3を採用したリッチなUIを持ち、タブ機能やスペルチェック、そして問題のAI機能を備えている。一方で、OSの奥深くに隠されている従来の「notepad.exe(レガシー版)」は、この影響を受けていない。レガシー版にはMarkdownのレンダリング機能も、インターネットを介したAI連携も存在しないからだ。
セキュリティ意識の高いユーザーの間では、あえてモダン版をアンインストールし、旧来のシンプルなメモ帳に戻そうとする動きも出ている。しかし、MicrosoftはWordpadを廃止したように、いずれはレガシーなメモ帳も完全に排除し、AIとネットワークに紐付いたモダン版への移行を強制するだろう。今回のCVE-2026-20841は、その強硬な進歩主義がもたらした象徴的な事故といえる。
2026年2月セキュリティアップデートの全容
今回のメモ帳の脆弱性は、2026年2月10日にリリースされた広範なセキュリティアップデートの一部に過ぎない。この月のPatch Tuesdayでは、Windows、Microsoft Office、Azureなどを含むコアコンポーネント全体で、合計59件の修正が行われた。
その内訳は以下の通りだ:
- 権限昇格の脆弱性:25件
- リモートコード実行(RCE):12件(メモ帳を含む)
- サービス拒否(DoS):3件
- セキュリティ機能のバイパス:5件
- 情報漏洩:6件
- スプーフィング(なりすまし):7件
このうち6件は「緊急(Critical)」と評価されており、さらに3件のゼロデイ脆弱性(修正プログラムが出る前に公表、あるいは悪用されていたもの)も含まれている。メモ帳のCVE-2026-20841自体は、修正時点で公に悪用された形跡はないとされているが、独立した調査機関であるDelta Obscuraと個人研究者の「chen」による協調的な開示により、危ういところで未然に防がれた形だ。
ユーザーが取るべき防衛策
Microsoft Store経由で提供されるアプリの特性上、多くのユーザーには自動的に修正パッチが適用されるはずだ。しかし、自動更新をオフにしている場合や、隔離されたネットワークで利用している場合は、手動での対応が不可欠となる。
- Microsoft Storeでの更新確認: メモ帳のバージョンが 11.2510 以上であることを確認し、最新ビルドへアップデートすること。
- 不用意なファイル開封の禁止: 信頼できないソースから入手したMarkdown(.md)ファイル、あるいはテキストファイルをメモ帳で開くことは、今やブラウザで怪しいURLをクリックするのと同等のリスクを伴う。
- リンクのクリックに注意: メモ帳内でレンダリングされたリンクは、ブラウザのような強力なサンドボックス保護を受けていない可能性がある。安易にクリックしてはならない。
- 代替ツールの検討: 今回の問題はNotepad++などのサードパーティ製エディタでも、過去にアップデートサーバーの侵害が発生した事例がある。一つのツールに依存せず、各ツールの「接続性」と「機能の複雑さ」を常に評価する姿勢が求められる。
進化の名を借りた退行
メモ帳にAIを載せ、Markdownを解釈させ、クラウドと同期させる。Microsoftが描く「スマートな作業環境」の裏側で、私たちはOSで最も基本的かつ安全であるべきツールの信頼性を失いつつある。
「ただ文字を入力し、保存するだけ」というメモ帳本来の価値は、AIの煌びやかなデモンストレーションの影で、セキュリティホールという形で踏みにじられた。開発者は「ユーザーが望んだ機能だ」と主張するかもしれないが、誰一人として「メモ帳でRCE(リモートコード実行)ができる機能」など望んではいない。
今回の脆弱性は、一度のパッチで解決されるかもしれない。しかし、Microsoftがソフトウェアに不必要な複雑さを持ち込み続ける限り、第二、第三の「メモ帳ショック」が起きるのは時間の問題だ。私たちは今、便利さと引き換えに何を差し出しているのかを、改めて見つめ直す必要がある。
Sources
- Microsoft: 2026 年 2 月のセキュリティ更新プログラム
- Cyber Security News: Windows Notepad Vulnerability Allows Attackers to Execute Malicious Code Remotely