セキュリティ

SECURITY

公開：2025-01-22

【CVE-2025-21362】Microsoft Excelに深刻な脆弱性、Office製品群に広範な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Excelにリモートコード実行の脆弱性が発見
• 複数のMicrosoft Office製品が影響を受ける
• Office Online ServerからOffice LTSC 2024まで広範な影響

Microsoft Excelのリモートコード実行の脆弱性

Microsoftは2025年1月14日、Microsoft Excel製品およびMicrosoft Office関連製品において、リモートコード実行の脆弱性【CVE-2025-21362】を公開した。この脆弱性はCWE-416（Use After Free）に分類され、CVSS v3.1での深刻度は8.4（High）と評価されており、攻撃者が特権昇格なしで任意のコードを実行できる可能性がある。^[1]

この脆弱性は、Microsoft Office Online ServerやMicrosoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021など、広範な製品に影響を与えることが判明した。影響を受ける製品は32ビットシステムおよび64ビットシステムの両方で確認されており、各製品の特定バージョンに対するセキュリティアップデートが提供されている。

Microsoftは影響を受ける全製品に対して、セキュリティアップデートを公式サイトを通じて提供している。Office Online Serverでは16.0.10416.20047未満のバージョン、Microsoft Office LTSC for Mac 2021および2024では16.93.25011212未満のバージョンが影響を受けるため、最新バージョンへのアップデートが推奨されている。

Microsoft Office製品の脆弱性対策まとめ

リモートコード実行について

リモートコード実行とは、攻撃者が対象システムに物理的にアクセスすることなく、ネットワークを介して任意のコードを実行できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 遠隔からシステムを制御可能な深刻な脆弱性
• システム内の機密情報漏洩のリスクが高い
• マルウェアの配布や不正アクセスの踏み台として悪用の可能性

今回の脆弱性【CVE-2025-21362】では、Use After Free（解放済みメモリの使用）の問題が原因となっており、CVSSスコア8.4と高い深刻度が付与されている。この種の脆弱性は特権昇格を必要とせず、ユーザーの操作も不要なため、攻撃の成功率が高くなる可能性が指摘されている。

Microsoft Excel脆弱性に関する考察

Microsoft Excelの脆弱性に関する迅速な対応と情報公開は、セキュリティインシデントへの適切な対処として評価できる。一方で、Office Online ServerからOffice LTSC 2024まで広範な製品に影響が及んでいることから、企業や組織における包括的なセキュリティ対策の必要性が改めて浮き彫りになっている。

今後の課題として、クラウドサービスの普及に伴うOffice製品のセキュリティ強化が挙げられる。特にリモートワークの増加により、オンラインでの文書共有や編集機会が増加しており、同様の脆弱性が発見される可能性も否定できない。セキュリティ更新プログラムの自動適用やエンドポイント保護の強化など、より包括的な対策が求められている。

Microsoft Office製品は業務効率化に不可欠なツールとして広く普及しているため、今後も継続的なセキュリティ対策の強化が期待される。特にAI技術を活用した脆弱性検出や、ゼロデイ攻撃への対応能力の向上など、より高度なセキュリティ機能の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE-2025-21362 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21362, (参照 25-01-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧