Officeユーザーにとっての警鐘として、Microsoftは2026年2月10日にWordの深刻なゼロデイ脆弱性を開示しました。
CVE-2026-21514として追跡されているこの欠陥は、攻撃者が特別に細工されたドキュメントを使用して主要なセキュリティ機能をバイパスすることを可能にします。
既に実際の攻撃で悪用されており、企業および個人の双方から早急な対応が求められています。
この脆弱性は、セキュリティ上の決定を行う際にWordが信頼できない入力に依存していることに起因しており、CWE-807の典型的なケースです。
攻撃者は、アプリに自身の保護機能をスキップさせるように騙す悪意のあるWordファイルを作成します。被害者がローカルでファイルを開くと、データの窃取(機密性)、ファイルの改ざん(整合性)、またはシステムのクラッシュ(可用性)といった高い影響を与えるアクセスが許可されます。
特別な権限は不要ですが、ユーザーの操作(単にファイルを開くこと)が必要です。
MicrosoftはこれをCVSS v3.1基本スコア7.8で「重要」と評価しています。攻撃ベクトルはローカル、複雑度は低く、エクスプロイトは機能的で実際の攻撃で確認されています。
良いニュースとして、Microsoftは2026年2月のPatch Tuesdayを通じて公式パッチをリリースしました。しかし、開示前に悪用が検出されていたため、パッチ未適用のシステムは依然としてリスクにさらされています。
次のような状況を想像してください:「緊急レポート.docx」という添付ファイル付きのメールを受け取ります。クリックするとWordで開きます。裏側では、ファイルがWordのセキュリティチェックに不正なデータを送り込み、偽のIDで警備員を騙すようなものです。
結果としてサンドボックスが回避され、マクロが暴走したり、機密文書が漏洩したりします。ローカルのみの攻撃なので、リモートハッキングはありませんが、フィッシングによって致命的になります。
直ちにパッチを適用してください:Microsoft UpdateまたはAdmin Center経由でOfficeを更新します。保護ビューとマクロブロッキングを有効にします。Microsoft Defenderなどのツールでエンドポイントをスキャンします。企業の場合は、WSUSまたはIntuneを介して展開します。
このゼロデイは、タイムリーな更新がなぜ重要かを浮き彫りにしています。Wordの数十億人のユーザーは主要な標的となっています。警戒を続けましょう。
翻訳元: https://cyberpress.org/microsoft-word-zero-day-vulnerability/