- Microsoft、OfficeのゼロデイCVE-2026-21509に対する緊急パッチを公開
- この脆弱性により、攻撃者はOLEの緩和策を回避してマルウェアを実行可能
- CISAが当該欠陥をKEVカタログに追加;悪用の詳細は未公表
Microsoftは、ゼロデイとして実際に悪用されている高深刻度のOffice脆弱性を修正するための緊急パッチを公開しました。
このバグはセキュリティ機能の回避に関する欠陥と説明されています。National Vulnerability Database(NVD)は「Microsoft Officeにおけるセキュリティ判断で信頼できない入力に依存しているため、未承認の攻撃者がローカルでセキュリティ機能を回避できる」と説明しています。
言い換えると、Officeが本来は完全に信頼すべきではない情報に基づいてセキュリティ判断を行っており、それがサイバー犯罪者に悪用されて、マルウェアの実行、ログイン認証情報の窃取、ネットワーク内での横展開が行われたということです。
バグのパッチ適用と回避策
この脆弱性は実際の環境で積極的に悪用されているとされ、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はすでに、Known Exploited Vulnerabilities(KEV)カタログに追加しています。
ただしMicrosoftは、脅威アクターが誰なのか、被害者が誰なのかを明らかにしていません。キャンペーンの規模や、すでに重大なデータ窃取、あるいはランサムウェア攻撃につながっているのかどうかも分かっていません。
このバグはCVE-2026-21509として追跡され、深刻度スコアは7.8/10(高)とされています。
「この更新プログラムは、Microsoft 365およびMicrosoft Officeにおいて、脆弱なCOM/OLEコントロールからユーザーを保護するOLE緩和策を回避する脆弱性に対処します」とMicrosoftはセキュリティアドバイザリで述べています。
Office 2021以降を使用しているユーザーは、パッチがサーバー側で適用されるため、Officeアプリケーションを再起動する以外に必要な作業はありません。Office 2016および2019を使用している場合は、以下の更新プログラムをインストールする必要があります。
Microsoft Office 2019(32ビット版)- 16.0.10417.20095
Microsoft Office 2019(64ビット版)- 16.0.10417.20095
Microsoft Office 2016(32ビット版)- 16.0.5539.1001
Microsoft Office 2016(64ビット版)- 16.0.5539.1001
パッチをインストールできない場合は、緩和策としてWindowsレジストリを変更する必要があります。Microsoftは手順を段階的に示したガイドを提供しており、このリンクで確認できます。
