セキュリティ

SECURITY

公開：2025-01-23

【CVE-2025-21346】Microsoft Officeに深刻な脆弱性、複数バージョンのセキュリティ機能バイパスが可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Officeに深刻なセキュリティ機能バイパスの脆弱性
• Microsoft Office 2019から2024まで複数のバージョンが影響を受ける
• 深刻度7.1のHIGHレベルと評価された脆弱性

Microsoft Office製品における脆弱性CVE-2025-21346の発見

Microsoftは2025年1月14日、Microsoft Office製品群に影響を与えるセキュリティ機能バイパスの脆弱性【CVE-2025-21346】を公開した。この脆弱性はMicrosoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024、Microsoft Office 2016の32ビットおよび64ビットシステムに影響を与えることが判明している。^[1]

CWE-693として分類されるこの脆弱性は、Protection Mechanism Failureに分類され、CVSSスコアは7.1のHighレベルと評価されている。攻撃者は特権なしで攻撃を実行できるものの、ユーザーの操作が必要となり、影響範囲は限定的であることが確認されている。

Microsoftは既にセキュリティアップデートを提供しており、各製品の最新バージョンにアップデートすることで脆弱性に対処することが可能となっている。Microsoft Office 2016については、バージョン16.0.5483.1001以降で脆弱性が修正されることが明らかになった。

影響を受けるMicrosoft Office製品まとめ

セキュリティ機能バイパスについて

セキュリティ機能バイパスとは、システムやアプリケーションに実装されているセキュリティ機能を迂回する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 認証や認可などのセキュリティ制御を回避可能
• 正規の利用者になりすまして不正アクセスが可能
• システムの保護機能が無効化される可能性がある

今回のMicrosoft Office製品における脆弱性【CVE-2025-21346】は、Protection Mechanism Failureとして分類され、CVSSスコア7.1のHighレベルと評価されている。この脆弱性は特権なしで攻撃を実行できるものの、ユーザーの操作が必要となり、影響範囲は限定的であることが確認されている。

Microsoft Office製品の脆弱性対応に関する考察

今回発見された脆弱性への対応は、Microsoft Office製品の広範な利用実態を考慮すると極めて重要な意味を持つ。企業や組織においてMicrosoft Office製品は業務の基盤として利用されており、セキュリティ機能バイパスの脆弱性は情報漏洩やデータ改ざんのリスクを高める可能性があるだろう。

一方で、複数のバージョンが同時に影響を受けることから、組織全体での一括アップデートが必要となり、互換性の確認や業務への影響評価に時間を要する可能性がある。セキュリティパッチの適用を迅速に行いつつ、業務への影響を最小限に抑えるための計画的な対応が求められるだろう。

今後は、脆弱性の検出から修正プログラムの提供までのプロセスをより迅速化することが望まれる。特にLTSC版のような長期サポート製品については、セキュリティ機能の強化とともに、脆弱性対応の効率化も重要な課題となるはずだ。

参考サイト

1. ^ CVE. 「CVE-2025-21346 | CVE」. https://www.cve.org/CVERecord?id=CVE-2025-21346, (参照 25-01-23).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧