2026年2月、MicrosoftストアからインストールするWindows メモ帳アプリに、深刻なリモートコード実行(RCE)脆弱性が見つかりました。CVE-2026-20841として登録されたこの脆弱性は、メモ帳の「モダン化」で追加されたURIハンドラーに起因します。
ここでは、この脆弱性の仕組みと影響範囲、そして今すぐできる対策について整理します。
CVE-2026-20841の概要|Windowsメモ帳にRCE脆弱性が発生した背景
従来のWindowsメモ帳はシンプルなテキストエディタで、セキュリティ上のリスクはほぼありませんでした。しかし、Microsoftはメモ帳にタブ機能やクラウド同期を追加し、その過程でnotepad://というカスタムURIスキームを導入しました。
問題は、このURIハンドラーがユーザーの入力をシステムシェルに渡す際に、適切なサニタイズ(無害化処理)を行っていなかった点にあります。つまり、悪意あるリンクやMarkdownファイルを開くだけで、攻撃者が仕込んだコマンドが実行される恐れがあったのです。
Windowsメモ帳の脆弱性はどう悪用される?攻撃シナリオを解説
この脆弱性を悪用する典型的な攻撃シナリオは次のとおりです。
- 攻撃者が、細工したMarkdownファイルやリンクをメールやWebページで配布する
- ユーザーがメモ帳でそのファイルを開き、リンクをクリックする
notepad://スキーム経由で、ユーザーの権限でシステムコマンドが実行される
したがって、攻撃にはユーザーの操作(ファイルを開く・リンクをクリックする)が必要ですが、メモ帳という「安全そうなアプリ」での攻撃だけに、警戒しにくい点が厄介です。なお、CVSS(共通脆弱性評価)では高リスクと評価されています。
Windowsメモ帳の脆弱性CVE-2026-20841への対策方法
Microsoftはすでにパッチをリリースしています。対策として次の手順を推奨します。
- Windows Updateを即座に適用する:Microsoft Storeからメモ帳の最新版に更新してください
- 不審なMarkdownファイルを開かない:送信元が不明なファイルはとくに注意が必要です
- URIスキームの登録を確認する:企業環境では、
notepad://プロトコルの無効化を検討してください - 従来版メモ帳の利用を検討する:Microsoft Store版ではなく、Windows標準の旧バージョンには影響がありません
なぜメモ帳がセキュリティリスクに?モダン化の代償
今回の脆弱性は、ソフトウェアの機能拡張がセキュリティリスクを生む典型例といえます。メモ帳はWindowsで最も古く、最もシンプルなアプリの一つでした。それだけに「メモ帳なら安全」という思い込みが広く浸透しています。
一方で、タブ機能やMarkdown対応、クラウド同期といった「便利な機能」の追加により、攻撃対象領域(アタックサーフェス)が拡大しました。結果として、これまで考えられなかったRCE脆弱性がメモ帳に生まれたのです。
この事例は、Chrome拡張機能の脆弱性やQuick Shareの脆弱性と同様に、身近なツールこそセキュリティ意識が求められることを示しています。
Windowsメモ帳の脆弱性CVE-2026-20841|まとめ
CVE-2026-20841は、Windowsメモ帳のモダン版に存在するリモートコード実行脆弱性です。notepad://URIスキームの入力検証不備が原因で、細工されたファイルを介して攻撃される可能性があります。
すでにMicrosoftがパッチを提供しているため、Windows Updateの適用が最優先です。加えて、不審なファイルを開かない基本的なセキュリティ習慣が、こうした脆弱性から身を守る最大の防御策となります。