Windows Notepad 脆弱性 CVE-2026-20841：コマンド・インジェクションの PoC がリリース

PoC Released for Windows Notepad Vulnerability that Enables Malicious Command Execution

2026/02/20 CyberSecurityNews — Microsoft は 2026年2月の Patch Tuesday において、最新の Windows Notepad アプリに存在する深刻なリモートコード実行 (RCE) の脆弱性を修正した。この脆弱性 CVE-2026-20841 は、コマンド・インジェクションに起因するものである。Delta Obscura の Cristian Papa／Alasdair Gorniak により発見された後に、TrendAI Research の Nikolai Skliarenko／Yazhi Wang により詳細が分析された。

この脆弱性の悪用に成功した攻撃者は、被害者アカウントのセキュリティ・コンテキストで任意コマンドを実行できる。ユーザーが細工された Markdown ファイルを開き、悪意のハイパーリンクをクリックするだけでこの攻撃は成立する。

Microsoft Store 経由で配布される最新 Windows Notepad は、従来の Windows 同梱版 “Notepad.exe” とは異なるものだ。この最新版は、”.md” 拡張子ファイルの Markdown レンダリングをサポートしている。この Markdown ファイルを開くと、Notepad は内容をトークン化し、リンクをインタラクティブにレンダリングする。

リンク・クリック・イベントを処理する、関数 sub_140170F60() に脆弱性が存在する。この関数は、リンク値を Windows API の ShellExecuteExW() へ渡すが、実施されるフィルタリングは最小限である。

実装されているのは、先頭および末尾のバックスラッシュとスラッシュの除去のみである。そのため、”file://” や “ms-appinstaller://” といった悪意のプロトコル URI を遮断できない。

これにより、リモートまたはローカルの、攻撃者が制御するファイルを読み込み、実行してしまう。その際に、標準的な Windows セキュリティ警告を回避する可能性がある。

ShellExecuteExW() は、設定済みのシステム・プロトコル・ハンドラーを呼び出す。そのため、対象となるシステム・コンフィグに応じて、他のプロトコルへ向けて攻撃面が拡張される。

攻撃ベクターとパッチ詳細

Zero Day Initiative の解説によると、メール／ダウンロードリンク／ソーシャルエンジニアリングを通じて、ある攻撃者が武器化されたファイルを配布しているという。被害者が Notepad でファイルを開き、[Ctrl + Click] で悪意のリンクを実行すると、脆弱性 CVE-2026-20841 に対する攻撃が成立する。

デフォルトでは、”.md” ファイルは Notepad に関連付けられていないが、ユーザーが手動で開いた場合には、Markdown レンダリングが有効化され、この脆弱性の悪用が可能となる。すでに GitHub で、PoC エクスプロイトが公開されている。

この脆弱性の影響が及ぶ範囲は、Notepad バージョン 11.2510 未満である。ただし、悪用に際しては、ユーザー操作が前提条件となる。すでに Microsoft Store 経由で、ビルド 11.2510 以降が提供され、この問題は対処されている。Microsoft は回避策は存在しないと明示している。なお、Windows 同梱版の Notepad.exe は影響を受けない。

ユーザー組織にとって必要なことは、Microsoft Store に対する自動更新の有効化である。さらに、管理対象エンドポイントでバージョン準拠を強制し、完全な修正適用を確認する必要がある。

Windows の Notepad という、誰もが知るシンプルなアプリに、リモートコード実行の脆弱性が発見されました。この問題は、Microsoft Store 経由で提供される、最新版 Notepad に追加された Markdown 表示機能に存在します。Notepad がリンク (ハイパーリンク) を処理する際の、入力された文字列のチェックが極めて不十分であるため、悪意のプログラムを起動させる特殊な命令 (URIスキーム) が実行される状態になっています。攻撃者が作成した悪意の Markdownファイルを Notepad で開き、そこに含まれるリンクを [Ctrl + Click] するだけで、悪意の外部ファイルが読み込まれ、実行される恐れがあります。PoC エクスプロイトもリリースされていますので、ご利用のチームは、ご注意ください。