さらに Outlook Classic にはゼロデイ脆弱性の警告も

2025年10月3日、Microsoft は公式サポート記事の中で、Outlook 365 の一部環境で起動時にクラッシュする深刻な不具合が存在することを認めました。この問題は通常のユーザー操作や更新プログラムだけでは解決できず、Microsoft Exchange Online サポートチームによる直接の介入が不可欠とされています。

さらに調査の過程で、クラシック版 Outlook（Classic Outlook for Windows）において、悪意あるメール経由で悪用される可能性のあるゼロデイ脆弱性も確認されており、セキュリティ面でも警戒が高まっています。

■ 不具合の詳細と発生状況

最初に報告されたのは、Outlook Classic（Outlook 365 に含まれるデスクトップアプリ）を起動した直後に強制終了してしまう現象です。特に Exchange Online に接続を試みる際にエラーが発生するケースが多く、業務用に同ソフトを利用しているユーザーに深刻な影響を与えています。

エラー時には以下のメッセージが表示されます：

Cannot start Microsoft Outlook.  

Cannot open the Outlook window.  

The set of folders cannot be opened.  

The attempt to log on to Microsoft Exchange has failed.

このエラーメッセージは一見すると一般的な接続不良や認証失敗に見えますが、Microsoft はこれを 既知の不具合として公式に認め、特定条件下で Outlook が正常に起動できなくなることを明らかにしました。

■ Microsoft の見解と調査状況

Microsoft のサポート文書によると、この現象の根底には 認証処理の同時実行制限（concurrency limit） が関係している可能性が高いとのことです。具体的には、以下のエラーログが確認された場合、今回の不具合に該当します：

Microsoft.Exchange.RpcClientAccess.ServerTooBusyException: Client is being backed off  

---> Microsoft.Exchange.RpcClientAccess.ClientBackoffException:  

ErrorCode: ClientBackoff, LID: 49586 - Authentication concurrency limit is reached.  

--- End of inner exception stack trace ---

この場合、ユーザーが個人で解決することはできず、Microsoft 365 管理ポータルからサポートケースを開く必要があります。Exchange Online チームが内部的にサービス設定を変更することでのみ解決可能だと説明されています。

■ 一時的な回避策

完全な修正は Microsoft の対応待ちですが、利用者がすぐに実践できる代替策として、以下が推奨されています：

• Outlook Web Access (OWA) を利用してメールを閲覧・送受信する
  
  
• 新しい Outlook for Windows アプリを利用する
  
  

これらの環境では今回の不具合は発生しないことが確認されています。

■ Outlook Classic におけるゼロデイ脆弱性の警告

Outlook 365 のクラッシュ問題と並行して、セキュリティ研究者やセキュリティ関連のメディアからは、Classic Outlook（従来型の Windows 用 Outlook クライアント）にゼロデイ脆弱性が存在する可能性についての警告も出されています。

報告によれば、この脆弱性は 不審なメールや添付ファイルを通じて発動し、Outlook クライアントが異常終了する原因となります。しかし、単なるクラッシュにとどまらず、条件が揃えば任意のコード実行を許す可能性があるとされており、攻撃者にシステム権限を奪われる危険性が指摘されています。つまり、最悪の場合は被害端末の完全な乗っ取りにつながりかねない重大な脆弱性です。

■ 攻撃手口の特徴

• 悪意あるメール本文や添付ファイルをユーザーがプレビューするだけで発動するケースがある
  
  
• プレビューウィンドウを有効化しているユーザーほど被害リスクが高い
  
  
• エクスプロイトの仕組みはまだ公開されていないが、**ゼロデイ（修正前に悪用可能な脆弱性）**であるため、攻撃者が先行して悪用する危険が大きい
  
  

このような性質から、従来の「不審な添付を開かなければ安全」という一般的な対策だけでは不十分であると専門家は警告しています。

■ 推奨される緊急対策

Microsoft からの公式修正プログラムはまだ配布されていませんが、セキュリティコミュニティでは以下のような即時の防御策が推奨されています：

1. Outlook のプレビューウィンドウを無効化する
   → メールを開かずとも脆弱性が発動するリスクを軽減できます。
   
   
2. 不明な送信者からの添付ファイルをブロック
   → 管理者はサーバーレベルで添付フィルタリングを行うことが望ましいです。
   
   
3. Windows Update を定期的に適用
   → Microsoft が修正を配信する際、いち早くパッチを導入できるように準備を整えておく必要があります。
   
   
4. 可能であれば Outlook Web Access (OWA) への移行を検討
   → クラシッククライアントに比べ、Web アクセス版では脆弱性の影響を受けにくいとされています。
   
   

■ まとめと展望

今回明らかになった 「Outlook 365 の起動クラッシュ問題」 と 「Classic Outlook のゼロデイ脆弱性」 は、それぞれ異なる性質を持ちながらも、利用者の業務環境に深刻な影響を与える点で共通しています。前者は Microsoft Exchange Online サポートを通じた対応が必須であり、後者は利用者自身のセキュリティ意識と防御策の実践が重要です。

Microsoft は現在、両問題について調査を継続しており、修正パッチや恒久的な解決策の提供が期待されています。それまでは、**「OWA や新 Outlook の利用」「プレビュー無効化」「添付ファイルの遮断」**といった即効性のある回避策を徹底することが最も効果的です。