2026年1月のWindows月例更新が配信されました。今回のアップデートでは合計114件もの脆弱性が修正されており、その中には実際に攻撃で悪用されているゼロデイ脆弱性1件と、緊急レベル(Critical)に分類される複数の脆弱性が含まれています。
結論から言うと、今回の更新は「多少の不具合リスクを踏まえても、基本的にすぐ適用した方が得」という内容になっています。Windows Updateに対して慎重派の方も多いと思いますが、今回ばかりは早めの対応をおすすめしたい、というのが率直なところです。
今回の更新の全体像を把握する
まず、2026年1月の月例更新(Patch Tuesday)の規模感について。CVEベースで112件、サードパーティベンダーの修正を含めると114件という、かなり大規模なアップデートとなっています。
影響範囲は次の通りです。
- Windows 10(バージョン22H2)
- Windows 11(各バージョン)
- Windows Server(各バージョン)
- Microsoft Office(Excel、Word、Outlookなど)
- SharePoint Server
毎月第2火曜日(日本時間では水曜日)に配信される月例パッチは、企業のIT部門では計画的に適用スケジュールを組んでいるはずですが、個人ユーザーの方は「また来たか…」くらいの感覚かもしれませんね。ただ、今回は例月と比べても優先度が高い内容になっています。
「今すぐ適用」を推す3つの理由
理由1:実際に悪用されているゼロデイの存在
最も重要なのが、CVE-2026-20805というゼロデイ脆弱性の修正です。これはDesktop Window Manager(DWM)の情報漏えいに関する脆弱性で、すでに攻撃者による悪用が確認されています。この脆弱性は米国CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)の「Known Exploited Vulnerabilities(KEV)」カタログにも登録されており、「実戦投入されている穴」として扱われています。
「情報漏えいだけなら大したことないのでは?」と思われるかもしれませんが、実はそうでもありません。このタイプの脆弱性は、単体で使われるよりも他の脆弱性と組み合わせて攻撃チェーンを構成する際に使われることが多いんです。つまり、攻撃者がシステムに侵入するための「足がかり」として機能してしまう可能性があるということですね。
すでに攻撃で使われている以上、パッチを当てていないPCは「鍵の開いたドア」のような状態になってしまいます。
理由2:Office & OSコアの緊急レベルRCE
今回の更新には、Microsoft Officeに関連する複数のリモートコード実行(RCE)脆弱性が含まれており、そのうち一部は緊急レベル(Critical)に分類されています。具体的にはExcel、Word、Office全般にわたる脆弱性です。
これらの脆弱性が怖いのは、悪意のあるファイルを開くだけで任意のコードが実行されてしまうという点です。メールに添付されたファイルや、Webからダウンロードしたファイルを何気なく開いた瞬間、攻撃者に乗っ取られる可能性があるわけですね。
さらに、Office製品だけでなくOS本体のコア部分にも緊急レベルの脆弱性が存在します。代表的なものとして、CVE-2026-20822(Windowsグラフィックスコンポーネント)などが挙げられます。
- Windowsグラフィックスコンポーネント
- LSASS(Local Security Authority Subsystem Service)
- VBSエンクレーブ(仮想化ベースのセキュリティ)
これらはWindowsの根幹を支える部分なので、クライアントPCだけでなくサーバー環境においても乗っ取りリスクが高い状態です。
理由3:Secure Boot証明書の更新と中長期リスク対策
少し技術的な話になりますが、今回の更新にはSecure Boot用証明書の有効期限切れ問題への対応も含まれています。
特に2011年に発行されたSecure Boot関連証明書が2026年6月以降順次失効していく予定であり、今回の更新はその切り替えを前提にした準備として位置づけられています。つまり、新しい証明書が段階的に配信され始めているんです。Secure BootはPCの起動プロセスを保護する重要な仕組みですから、証明書が切れてしまうと起動できなくなったり、セキュリティが低下したりする可能性があります。
今のうちに更新しておけば、将来的なトラブルを未然に防げるというメリットもあるわけです。
削除されたドライバと品質更新
古いモデムドライバの完全削除
今回のアップデートでは、セキュリティ修正だけでなく、システムのクリーンアップも行われています。その一環として、Agere系など古いモデムドライバが完全に削除されました。
これは「攻撃面を減らす」ための意図的な措置です。使われていない古いレガシードライバは、セキュリティホールになりやすいため、Microsoftが積極的に切り捨てているんですね。
ただし、特殊な業務環境で古いモデムを使っている場合は影響が出る可能性があります。該当する方は更新前に確認しておくことをおすすめします。とはいえ、一般的な個人ユーザーや現代的なオフィス環境であれば、まず問題になることはないでしょう。
日常運用を改善する品質修正
セキュリティ以外にも、いくつか重要なバグ修正が含まれています。
- WSLミラーリングモード使用時のVPN接続問題
- Azure Virtual Desktopへの接続不具合
- NPU(Neural Processing Unit)搭載PCでのアイドル時電力消費の最適化
特にWSLを使っている開発者の方や、リモートワークでAzure Virtual Desktopを利用している方にとっては、これらの修正は地味ながらありがたい内容ではないでしょうか。
セキュリティだけでなく、日常運用の安定性向上にも貢献するアップデートだと言えます。
Windows 10ユーザーは特に注意が必要
Windows 10のバージョン22H2を使っている方は、特に注意が必要。一般向けサポートが既に終了しており、今後セキュリティ更新を受け取るにはESU(Extended Security Updates)への登録が必須となっています。
ESUに加入せずに放置してしまうと、今後発見される脆弱性に対して完全に無防備な状態になります。選択肢としては次の3つです。
- Windows 11へ移行する(ハードウェア要件を満たしている場合)
- ESUに加入する(年間費用が発生します)
- 代替OSを検討する(Linux系など)
どの道を選ぶにせよ、Windows 10を無防備なまま使い続けるのは避けた方が良いでしょう。
「不具合が怖い」人向けの現実的な対応策
Windows Updateで痛い目に遭った経験がある人は多いはず。実際、今回も既知の問題として「パスワード表示ボタンが見えなくなるバグ」などが報告されています。
ただ、この手の小さなバグは、マウスをボタンがあるはずの場所に合わせるとクリックできるなど回避策があることがほとんどです。影響度としてはそこまで深刻ではありません。
個人ユーザーの場合
基本的には即適用をおすすめします。どうしても不安という方は、「数日だけ様子見してから手動で適用する」という妥協案もあります。ただし、ゼロデイ脆弱性が含まれている以上、様子見期間はできるだけ短くした方が良いですね。
企業ユーザーの場合
通常通り「テスト用リング→本番環境」という段階的な展開を行いつつも、今回はテスト期間を短めにすることがよさそうです。重要な脆弱性が多いため、検証は丁寧に行いながらも、展開スピードは速めるバランスが求められます。
具体的な更新手順とチェックポイント
更新方法は環境によって異なりますが、主な経路は次の通りです。
個人ユーザー向け
- Windows Update(設定アプリ→Windows Update)
- Microsoft Updateカタログからの手動ダウンロード
企業ユーザー向け
- WSUS(Windows Server Update Services)
- Microsoft Intune
- Configuration Manager
適用後に確認すべきポイントもまとめておきます。
- ドライバ関連の動作確認(特にプリンタやネットワークアダプタ)
- VPN接続の正常性
- 仮想環境(VMware、Hyper-Vなど)の起動確認
- 業務で使用する主要なOfficeファイルやマクロの動作確認
- セキュリティソフトとの相性問題
特に業務で使っているPCの場合は、重要な作業の前にこれらのチェックを済ませておくと安心です。
まとめ:今回は「更新のリスク < 放置のリスク」
今回の2026年1月Windows月例更新は、次の3点から例月より優先度が高いと判断できます。
- 実際に悪用されているゼロデイ脆弱性の存在
- OfficeとOSコアに緊急レベルのRCE脆弱性が複数
- Secure Boot証明書更新による中長期的な安定性向上
過去のアップデート不具合でトラウマを抱えている方の気持ちは理解できます。ただ、今回に関しては「更新のリスク」よりも「放置のリスク」の方が大きいというのが現実です。
114件もの脆弱性が修正されているということは、それだけ攻撃者に狙われる「穴」が塞がれたということでもあります。できるだけ早めに適用して、安心してPCを使える環境を整えておきましょう。
