Microsoftは、攻撃者がセキュリティ保護をバイパスできるようにするMicrosoft Officeのゼロデイ脆弱性を公開しました。
CVE-2026-21514として特定されたこのセキュリティ上の欠陥は、2026年2月10日に正式に文書化され、世界中のユーザーに重大なリスクをもたらします。
脆弱性の概要
CVE-2026-21514は、Microsoft Wordに影響を与えるセキュリティ機能バイパス脆弱性として分類されています。
この脆弱性は、セキュリティ上の決定を行う際にアプリケーションが信頼できない入力に依存していることに起因し、CWE-807に分類されています。
この設計上の欠陥により、権限のない攻撃者が、通常であれば悪意のある活動を防ぐはずの保護手段を回避できるようになります。
この脆弱性は「重要」という深刻度評価で、CVSSスコアは10点満点中7.8点となっており、重大なリスクを示しています。
特に懸念されるのは、既に実際の環境で悪用が検出されており、パッチが広く利用可能になる前に脆弱性が公開されていることです。
| 属性 | 詳細 |
|---|---|
| CVE ID | CVE-2026-21514 |
| 影響 | セキュリティ機能バイパス |
| CVSSスコア | 7.8 / 7.2 |
| 攻撃ベクトル | ローカル |
| 必要な特権 | なし |
| ユーザーの対話 | 必要 |
| 悪用状況 | 検出済み |
この攻撃には対象システムへのローカルアクセスが必要で、複雑度は低く、攻撃者がこの欠陥を悪用するために特別な権限は必要ありません。
ただし、ユーザーの操作が必要であり、通常は悪意のあるWordドキュメントを開くことで実行されます。
悪用されると、攻撃者は機密性、完全性、可用性の全てにおいて高い影響を与えることができます。
Microsoftの悪用可能性指数では、機能する悪用コードが存在し、アクティブな悪用が観測されていることが確認されています。
この「悪用が検出された」状態は、脅威アクターが既に実際の攻撃でこの脆弱性を利用していることを意味します。
修復レベルは「公式修正」とマークされており、Microsoftが問題に対処するセキュリティ更新プログラムをリリースしたことを示しています。
Microsoft Wordを使用している組織や個人は、Microsoftセキュリティ更新ガイドから入手可能なセキュリティパッチを直ちに適用する必要があります。
ユーザーは信頼できないソースからのWordドキュメントを開く際には注意を払うべきです。これが主要な攻撃ベクトルであるためです。
システム管理者は、すべてのエンドポイントへのパッチ適用を優先し、メールフィルタリングやユーザー意識向上トレーニングなどの追加のセキュリティ制御を実装する必要があります。
翻訳元: https://gbhackers.com/microsoft-office-word-0-day-vulnerability/
