【CVE-2024-43576】Microsoft 365 AppsとOfficeに重大な脆弱性、リモートコード実行のリスクで早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Microsoft 365 AppsとOfficeにリモートコード実行の脆弱性
影響範囲は32-bit/64-bitのEnterprise版とLTSC 2024版
CVSSスコア7.8の重要な脆弱性としてマイクロソフトが対策を公開

Microsoft 365 AppsとOfficeの脆弱性への対応

マイクロソフトは2024年10月8日にMicrosoft 365 AppsおよびOfficeに存在するリモートでコードを実行される脆弱性に関する情報を公開した。この脆弱性はCVSS v3の基本値が7.8と評価される重要な問題であり、攻撃条件の複雑さは低く、特権レベルも低いことが明らかになっている。^[1]

影響を受けるバージョンはMicrosoft 365 Apps for EnterpriseのバージョンおよびOffice LTSC 2024の32ビット版と64ビット版となっており、脆弱性が悪用された場合にリモートでコードが実行される可能性がある。マイクロソフトは既にセキュリティ更新プログラムを公開しており、早急な対応が推奨されている。

この脆弱性はCWEによって信頼できない検索パス（CWE-426）に分類されており、攻撃者による悪用の可能性が指摘されている。セキュリティ更新プログラムの適用により、Microsoft 365 AppsおよびOfficeの安全性が確保されることが期待される。

Microsoft 365 AppsとOfficeの脆弱性詳細

項目	詳細
CVSSスコア	7.8（重要）
攻撃元区分	ローカル
攻撃条件の複雑さ	低
必要な特権レベル	低
利用者の関与	不要
影響の想定範囲	変更なし
影響度	機密性・完全性・可用性すべてにおいて高

CWEについて

CWEとは共通脆弱性タイプ一覧（Common Weakness Enumeration）の略称であり、セキュリティの脆弱性や欠陥を分類・整理するための標準規格として知られている。主な特徴として、以下のような点が挙げられる。

ソフトウェアの脆弱性を体系的に分類・管理
脆弱性の種類や特徴を標準化された形式で記述
セキュリティ対策の優先順位付けに活用可能

Microsoft 365 AppsとOfficeの脆弱性では、CWE-426（信頼できない検索パス）として分類されており、これは攻撃者が悪意のあるコードを含むファイルを配置し実行される可能性を示している。この種の脆弱性は、正規のプログラムが想定外の場所からファイルを読み込むことで発生するため、早急な対策が必要とされている。

Microsoft 365 AppsとOfficeの脆弱性に関する考察

Microsoft 365 AppsとOfficeの脆弱性は、攻撃条件の複雑さが低く特権レベルも低いことから、多くの企業や組織に影響を与える可能性が高いと考えられる。特にリモートワークが一般化している現代において、オフィススイートの脆弱性は情報漏洩やシステム破壊など深刻な被害につながる可能性があるだろう。

今後の課題として、セキュリティアップデートの適用を確実に行う体制の整備が挙げられる。特に大規模な組織では、すべての端末に対して迅速かつ確実にアップデートを適用する必要があり、自動更新の設定や更新状況の監視体制の強化が求められるだろう。

長期的な対策としては、ゼロデイ攻撃への対応力強化が重要となる。マイクロソフトには、AIを活用した脆弱性の早期発見システムの開発や、エンドポイントセキュリティの強化など、より積極的な防御策の実装が期待される。