Microsoftは、Officeアプリケーションに影響する重大なセキュリティ機能バイパスの脆弱性を開示し、企業環境を狙った標的型攻撃におけるアクティブな悪用の確証があると発表しました。
CVE-2026-21509として追跡されているこの脆弱性は2026年1月26日に公開され、すべてのOffice導入環境で直ちに修正対応が必要です。
この欠陥は、Microsoft Officeがセキュリティ判断を行う際にユーザー入力を検証する方法にある根本的な弱点を突き、攻撃者が組み込みの保護機構を回避できるようにします。
この脆弱性の悪用には、ローカルシステムへのアクセスとユーザー操作の組み合わせが必要で、通常はフィッシングキャンペーンやウォータリングホール攻撃を通じて配布される悪意のあるOffice文書によって届けられます。
ユーザーが特別に細工されたOffice文書を開くと、セキュリティ機能のバイパスにより、システムの完全な権限で不正なコード実行が可能になります。
この攻撃チェーンは、文書の開封率を高めるためにソーシャルエンジニアリングを活用し、脅威アクターは請求書、契約書、報告書を含む文脈に沿ったメールを用いて、正当な業務連絡になりすまします。
CVSSベクター文字列(CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C)は、機密性・完全性・可用性の各側面にわたって高い影響を示しています。
「E:F」の機能的なエクスプロイトコード評価と、「RL:O」の公式パッチ提供状況は、攻撃者がすでに信頼性の高い悪用手法を開発済みである、または迅速に開発する可能性が高いことを示しています。
セキュリティ研究者は、金融、政府、重要インフラ分野の組織に対してこの脆弱性が武器化されていることを特定しました。
脅威アクターは、正当な業務連絡を装った特別に細工されたOffice文書を配布し、ユーザーの信頼と組織内の緊急性につけ込んで文書の実行を成立させています。
この脆弱性はユーザー操作に依存するため、悪用の成功にはソーシャルエンジニアリングが極めて重要です。
攻撃者は、組織のブランド要素、業界固有の文脈、期限を強調するメッセージを盛り込んだ説得力のあるメールキャンペーンを作成し、開封率を高めてユーザーの警戒心をすり抜けます。
組織は、すべてのOffice導入環境における即時のパッチ適用を最優先すべきです。Microsoftは標準の更新チャネルを通じて利用可能な公式パッチを公開しています。パッチ適用までの間は、多層的な防御策を実装してください:
文書ベースのコード実行を防ぐため、グループポリシー設定でOfficeマクロの実行を無効化してください。
サンドボックス機能を備えた強化されたメールセキュリティ制御は、ユーザーに配信する前に隔離環境で疑わしい添付ファイルを起動(デトネーション)して検査することで、追加の保護を提供します。
アクティブな悪用が確認されており影響が大きい可能性が高いため、この脆弱性は最重要課題として扱ってください。
ローカルの攻撃面、ユーザー操作要件、そして機密性・完全性・可用性にわたる深刻な影響の組み合わせにより、迅速なセキュリティ対応手順と、パッチ展開のタイムラインの前倒しが必要になります。
直ちにパッチを適用できない組織は、代替的な補完コントロールと監視強化を実施し、システム侵害が発生する前に悪用の試みを検知できるようにしてください。
翻訳元: https://cyberpress.org/microsoft-office-zero-day-actively-exploited-in-targeted-cyberattacks/