セキュリティ

SECURITY

公開：2025-02-19

【CVE-2025-21397】Microsoft Office製品に重大な脆弱性、複数バージョンで早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Office製品にリモートコード実行の脆弱性
• 複数のOffice製品バージョンが影響を受ける
• CVSSスコア7.8のHigh深刻度の脆弱性

Microsoft Office製品の重大な脆弱性についてMicrosoftが公表

Microsoftは2025年2月11日、Microsoft Office製品における重大な脆弱性【CVE-2025-21397】を公開した。Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024の各バージョンに影響を与えるリモートコード実行の脆弱性が発見され、CVSSスコアは7.8（High）を記録している。^[1]

この脆弱性は32ビットシステムおよびx64ベースシステムの両方に影響を及ぼすことが確認されており、CWEではUse After Free（CWE-416）に分類されている。攻撃には特権は不要であるものの、ユーザーの操作が必要となる特徴を持つ深刻な脆弱性だ。

影響を受けるバージョンは、Microsoft 365 Apps for Enterpriseでは16.0.1以降、Microsoft Office LTSC 2021では16.0.1以降、Microsoft Office LTSC 2024では1.0.0以降のすべてのバージョンとなっている。Microsoftは2025年2月14日に更新情報を公開し、ユーザーに対して早急なセキュリティアップデートの適用を推奨している。

Microsoft Office製品の脆弱性影響範囲まとめ

リモートコード実行について

リモートコード実行とは、攻撃者が遠隔から標的のシステムで任意のコードを実行できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 攻撃者が遠隔から不正なコードを実行可能
• システムの制御権限を奪取される可能性
• 機密情報の漏洩やマルウェア感染のリスク

今回のMicrosoft Office製品の脆弱性では、Use After Free（解放済みメモリの使用）という脆弱性タイプに分類されている。これはメモリ管理の不備を突いた攻撃であり、適切なメモリ管理と迅速なパッチ適用が重要となる深刻な脆弱性だ。

Microsoft Office製品の脆弱性に関する考察

Microsoft Office製品の広範な普及を考えると、この脆弱性の影響は極めて大きいと言えるだろう。企業や組織での利用が多いMicrosoft 365 Apps for Enterpriseに影響があることから、ビジネス環境におけるセキュリティリスクが特に懸念される。早急なパッチ適用と、ユーザーへの注意喚起が重要となってくるはずだ。

今後は同様の脆弱性を防ぐため、メモリ管理機能の強化やセキュリティ設計の見直しが必要になってくるだろう。特にUse After Free脆弱性は深刻な影響をもたらす可能性があるため、開発段階での徹底的なセキュリティテストと、定期的なコード監査の実施が望まれる。

また、エンタープライズ製品におけるセキュリティ対策の重要性は今後さらに高まっていくと考えられる。Microsoftには、より強固なセキュリティ機能の実装と、脆弱性発見時の迅速な対応体制の構築を期待したい。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21397, (参照 25-02-19).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧