出典:Shutterstock(QINQIE99)
Microsoftは、攻撃者が実際に悪用している複数バージョンのMicrosoft OfficeおよびMicrosoft 365に存在するセキュリティ脆弱性に対し、緊急パッチを急遽リリースした。このゼロデイのバグは CVE-2026-21509 (CVSS 7.8)として指定されており、Microsoft 365およびOfficeにおいて危険なCOM/OLEの挙動から保護するセキュリティ制御を回避し、影響を受けるシステム上で任意のコードを実行できる。
CISA、当該バグをKEVに追加
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、このバグを同庁の 既知の悪用されている脆弱性 (KEV)カタログに追加し、連邦政府の行政部門(民間部門)機関に対して、2月16日までに当該問題へパッチを適用するか、パッチ適用まで影響を受ける製品の使用を中止するよう求めた。脆弱性を悪用するには、攻撃者は既にシステムへのアクセス権を持っている必要があるか、悪意のあるOfficeファイルをユーザーに送付して開かせる必要がある。これまでの多数のOffice脆弱性とは異なり、プレビューウィンドウで悪意のあるOfficeファイルを表示しただけではCVE-2026-21509は発動しない。Microsoftによれば、悪用に成功すると、影響を受けるシステムの機密性・完全性・可用性が全面的に侵害され得る。
セキュリティベンダーのCytexは、この脆弱性は悪用が複雑で、高度に標的化された攻撃で一般的に見られる多段階の攻撃チェーンを伴う可能性が高いと評価した。「このゼロデイの性質は、高度で持続的な脅威(APT)のためのツールであることを示している」とCytextはXで述べた。「主要な特徴は、国家支援または金銭的動機による諜報活動を示唆している」とし、潜在的に高価値な被害者を狙ったソーシャルエンジニアリングが関与していると同社は付け加えた。
Microsoftはアドバイザリの中で、CVE-2026-21509を標的とした悪用活動を検知したことを確認した。しかし同社の慣例どおり、活動の詳細や、標的型か機会的なものかについては追加の情報を開示しなかった。
セキュリティ研究者は、特に攻撃者が既に脆弱性を積極的に悪用している可能性がある状況では、影響を受けるシステムに直ちにパッチを適用するよう、常に組織に推奨している。
さらにMicrosoftは、脅威を緩和し得る既定の設定、構成、一般的なベストプラクティスを特定した。Office 2021以降のバージョンを利用している組織は、Microsoftがサーバー側で脆弱性の修正を実装したため、Officeアプリを再起動する以外に何もする必要はない。
しかし、Office 2016および2019の顧客は、脅威から保護するためにセキュリティ更新プログラムをインストールする必要がある。Microsoftのアドバイザリには、これらのバージョンを使用する組織が、悪用の試行を直ちにブロックするために実施できる、特定のWindowsレジストリキーの変更および追加が記載されている。
攻撃者にとって大きな標的
Microsoft OfficeおよびMicrosoft 365は広範かつほぼ遍在的に利用されているため、最大の影響を狙う攻撃者にとって頻繁な標的となっている。過去1年で、攻撃者はこれらの環境における複数の重大な脆弱性を悪用し、相当な被害を与えてきた。例としては、「ToolShell」(CVE-2025-53770)—攻撃者がCVE-2025-53771,別のSharePointの欠陥と連鎖させ、米国政府機関などを標的にしたSharePointのゼロデイ;CVE-2025-49704およびCVE-2025-49706,攻撃者が積極的に狙った、以前からあるが関連する2つのSharePoint脆弱性;そしてCVE-2025-62554,影響を受けるシステムでリモートコード実行を可能にした脆弱性などがある。
新たなCVE-2026-21509のゼロデイは、他の一部のOfficeゼロデイとは異なり、悪用の成功にユーザーの操作を必要とする点が特徴であり、多くの攻撃チェーンにおいてソーシャルエンジニアリングが依然として重要な要素であることを浮き彫りにしている。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/microsoft-rushes-emergency-patch-office-zero-day
