セキュリティ

SECURITY

公開：2025-01-21

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性、Mac版の複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Outlookにリモートコード実行の脆弱性が発見
• Microsoft Office LTSC for Mac 2021/2024が影響を受ける
• CVSSスコア7.8の高深刻度の脆弱性

Microsoft Outlookの深刻な脆弱性【CVE-2025-21361】

Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。Microsoft Office LTSC for Mac 2021のバージョン16.0.1から16.93.25011212未満とMicrosoft Office LTSC for Mac 2024のバージョン1.0.0から16.93.25011212未満において深刻な影響を及ぼす可能性がある脆弱性が確認されている。^[1]

この脆弱性はCVSSスコア7.8の高深刻度と評価されており、攻撃者によってリモートコード実行が可能となる危険性がある。攻撃の条件として攻撃元区分はローカル、攻撃条件の複雑さは低く、特権は不要だが利用者の関与が必要とされており、影響の及ぶ範囲は変更されるとされている。

また、CWE-641として分類されているこの脆弱性は、ファイルやその他のリソースの名前に対する不適切な制限に関連している。Microsoft Outlook for Macのバージョン1.0.0から16.93未満も影響を受けるため、該当するバージョンを使用しているユーザーは最新版へのアップデートを推奨している。

Microsoft Outlookの脆弱性詳細

リモートコード実行について

リモートコード実行とは、攻撃者が標的となるシステムやアプリケーション上で任意のコードを実行できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 遠隔地から攻撃者が悪意のあるコードを実行可能
• システムやアプリケーションの制御権限を奪取される危険性
• 個人情報や機密データの漏洩につながる可能性

Microsoft Outlookの脆弱性【CVE-2025-21361】では、ファイルやリソースの名前に対する制限が不適切であることが原因でリモートコード実行が可能となる。攻撃者は特権なしで攻撃を実行できるが、ユーザーの操作を必要とするため、フィッシングなどのソーシャルエンジニアリング手法と組み合わせた攻撃が予想される。

Microsoft Outlookの脆弱性に関する考察

Microsoft Outlookの脆弱性は、企業や組織のコミュニケーションインフラに重大な影響を及ぼす可能性がある。特にMac版のOutlookユーザーが標的となる可能性が高く、メールを介した情報漏洩やシステム侵害のリスクが懸念される。企業のセキュリティ担当者は、影響を受けるバージョンの特定と更新プログラムの適用を迅速に行う必要があるだろう。

今後は同様の脆弱性を防ぐため、Microsoftによるファイル名やリソース名の検証機能の強化が期待される。特にクロスプラットフォーム製品におけるセキュリティ対策の統一化と、各プラットフォーム固有の脆弱性への対応が課題となるだろう。定期的なセキュリティ監査とコードレビューの強化によって、同種の脆弱性の早期発見と対策が必要である。

また、ユーザーの操作を必要とする脆弱性であることから、セキュリティ意識向上のための教育も重要な課題となる。Microsoft Outlookの利用者に対して、不審なメールやファイルへの警戒を促すとともに、自動更新の設定確認や定期的なバージョン確認の習慣化を推進する必要がある。

参考サイト

1. ^ CVE. 「CVE-2025-21361 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21361, (参照 25-01-21).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧