スタッフブログ

Windows 11のメモ帳が2025年頃から大幅に進化しました。タブ機能、自動保存、ダークモードに加え、Markdown記法のサポート（見出し・太字・リンク・リストなど）が追加されましたが、このMarkdown機能がセキュリティの穴になってしまったらしいです。
 

脆弱性の原因

Markdownのリンク処理に不備があり、悪意のあるURI（例: file:// や ms-appinstaller:// など）を含むリンクをクリックすると、フィルタリング・エスケープがされず、そのまま実行されてしまう欠陥がありました。これにより、悪意ある.mdファイルを開いてリンクをクリックするだけで、警告なしに
・ローカルファイル実行
・リモートからの悪意ファイルダウンロード＆実行
・アプリの無断インストール
が可能になる危険性があったようです。攻撃はフィッシングなどで偽の.mdファイルを送りつけるだけで成立するとのことです。
 

特に注意すべき使い方・人

・Markdownファイルを頻繁に開く人
GitHubのREADME.md、技術ドキュメント、ブログの下書き、Obsidianなどからコピーした内容をメモ帳で確認する開発者、エンジニア、技術ブロガー、ドキュメント作成者、学生。
.mdファイルをメール添付、Discord/Slack/Teams、ダウンロードサイトから受け取って開く機会が多い人。
・知らない人・信頼できないソースからファイルをもらう人
フィッシングメールやSNSで「これ読んでみて」と送られてくる.mdファイルを好奇心で開く人。
仕事で外部ドキュメントをもらうフリーランス、営業、サポート担当など。
・メモ帳を.mdファイルのデフォルトアプリにしている人
ダブルクリックでメモ帳が開く設定だと、知らずに悪意あるファイルを起動するリスクが高まるようです。
 
逆に、メモ帳をほとんど使わない人や古いレガシー版（notepad.exe）を使っている人は影響が低いようです。
 

今すぐできる実践的な対策

・Windows UpdateでKB5077181を適用
設定 → 更新とセキュリティ → Windows Updateで確認。
・メモ帳アプリのバージョンを11.2510以上に更新
Microsoft Storeで「更新」をチェック（自動更新がオンなら通常済み）。
・知らない.mdファイルは開かない、またはプレーンテキストモード（Markdown表示オフ）で開く。
・リンクをクリックする前にURLを確認（file:// や ms- で始まるものは絶対クリックしない）。
・.mdの関連付けを解除（VS Codeやブラウザに割り当てる）。
 
この脆弱性はすでに修正済みで、2026年2月24日現在、実際の悪用報告はないとのことです。アップデート済みならほぼ心配不要のようです。
 
多機能化でメモ帳も以前と比べて便利になりつつありますが、その分リスクも増えるようです。