セキュリティ

SECURITY

公開：2025-01-21

【CVE-2025-21363】Microsoft Wordにリモートコード実行の脆弱性、複数のOffice製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Wordにリモートコード実行の脆弱性
• 複数のMicrosoft 365関連製品が影響を受ける
• 脆弱性のCVSSスコアは7.8で深刻度は高い

Microsoft Wordのリモートコード実行の脆弱性が発見

Microsoftは2025年1月14日、Microsoft Wordにおけるリモートコード実行の脆弱性【CVE-2025-21363】を公開した。この脆弱性は信頼されていないポインタの参照（CWE-822）に分類され、CVSSスコア7.8の高い深刻度を持つことが判明している。^[1]

影響を受けるプロダクトは、Microsoft 365 Apps for EnterpriseのバージョンおよびMicrosoft Office LTSC for Mac 2021のバージョン16.0.1以降の製品となっている。また、Microsoft Office LTSC 2024のバージョン1.0.0以降とMicrosoft Office LTSC for Mac 2024のバージョン1.0.0以降も影響を受けることが確認された。

脆弱性の評価によると、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは不要だが、ユーザーの関与が必要とされている。影響範囲は変更可能であり、機密性、完全性、可用性のいずれも高いレベルで影響を受ける可能性があるとされた。

Microsoft Word脆弱性の影響を受けるプロダクト一覧

リモートコード実行について

リモートコード実行とは、攻撃者が標的となるシステムやアプリケーション上で任意のコードを実行できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 攻撃者が遠隔から悪意のあるコードを実行可能
• システムの制御権限を奪取される危険性がある
• データの改ざんや情報漏洩のリスクが高い

Microsoft Wordの今回の脆弱性では、信頼されていないポインタの参照が問題となっており、CVSSスコア7.8という高い深刻度が示すように、組織のセキュリティに重大な影響を及ぼす可能性がある。この種の脆弱性は、攻撃者によって悪用された場合、システム全体の制御権限が奪取される危険性があるため、早急な対応が求められる状況だ。

Microsoft Wordの脆弱性に関する考察

Microsoft製品における脆弱性の発見と迅速な対応は、企業のセキュリティ体制を強化する重要な機会となっている。今回のような高いCVSSスコアを持つ脆弱性は、組織の重要な情報資産を危険にさらす可能性があるため、システム管理者は速やかにセキュリティアップデートを適用する必要があるだろう。

今後も同様の脆弱性が発見される可能性は否定できず、特にMicrosoft 365のようなクラウドベースのサービスでは、影響範囲が広範に及ぶ可能性がある。組織はセキュリティポリシーの見直しやインシデント対応計画の整備を進め、脆弱性対応の自動化やセキュリティ監視の強化を検討することが望ましいだろう。

また、ユーザーの関与が必要な攻撃においては、セキュリティ教育の重要性が一層高まっている。組織は定期的なセキュリティトレーニングを実施し、不審なファイルの取り扱いや適切なアップデート管理について、従業員の意識向上を図る必要があるだろう。

参考サイト

1. ^ CVE. 「CVE-2025-21363 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21363, (参照 25-01-21).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧