セキュリティ

SECURITY

公開：2025-02-22

【CVE-2025-21390】Microsoft Excelに重大な脆弱性、Office製品全般のアップデートが緊急に必要な状況に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Excelにリモートコード実行の脆弱性が発見
• Office製品全般に影響する深刻な脆弱性
• CVE-2025-21390として識別される重大な問題

Microsoft ExcelとOffice製品におけるリモートコード実行の脆弱性

Microsoftは2025年2月11日、Microsoft ExcelおよびOffice製品群に影響を与えるリモートコード実行の脆弱性を公開した。本脆弱性はCVSS v3.1のスコアで7.8を記録し、攻撃者がユーザーの権限でコードを実行できる危険性が指摘されている。【CVE-2025-21390】として識別されるこの問題は、Office Online ServerからMicrosoft 365 Apps for Enterpriseまで広範な製品に影響を及ぼすことが判明した。^[1]

影響を受ける製品には、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024およびそれらのMac版が含まれており、32ビットおよび64ビットシステムの両方が対象となっている。特にヒープベースのバッファオーバーフロー（CWE-122）に分類されるこの脆弱性は、攻撃の複雑さが低く評価され、早急な対応が求められる状況だ。

Microsoftは影響を受けるすべての製品に対してセキュリティアップデートを提供しており、Office Online Serverではバージョン16.0.10416.20058、Mac版Office LTSCではバージョン16.94.25020927への更新が推奨されている。その他の製品については、Microsoftが提供する公式のセキュリティリリースページでアップデート情報が確認できる状況となっている。

Microsoft製品の影響範囲まとめ

ヒープベースのバッファオーバーフローについて

ヒープベースのバッファオーバーフローとは、プログラムのヒープ領域で発生するメモリ破壊の一種であり、主な特徴として以下のような点が挙げられる。

• プログラムのメモリ管理における重大な脆弱性
• 任意のコード実行やシステムクラッシュの可能性
• データの改ざんや情報漏洩のリスク

この種の脆弱性は、プログラムが確保したメモリ領域を超えてデータを書き込むことで発生する深刻な問題だ。特にMicrosoft Excelのような広く普及したソフトウェアで発見された場合、攻撃者による悪用の可能性が高く、早急な対応が必要となる。

Microsoft Excelの脆弱性に関する考察

Microsoft Excelの脆弱性がCVSSスコア7.8と評価された点は、企業のセキュリティ管理者にとって重要な警鐘となっている。特にOffice製品群は、ビジネスにおいて不可欠なツールであり、その影響範囲の広さから、組織全体のセキュリティポリシーの見直しが必要となる可能性が高いだろう。

今後は自動更新の徹底やセキュリティ意識の向上など、より包括的な対策が求められる状況となっている。特にリモートワークが一般化している現代において、エンドポイントセキュリティの重要性は一層高まっており、組織全体でのセキュリティ対策の強化が急務となるだろう。

さらに、今回の脆弱性対応を契機として、ゼロトラストセキュリティの導入やセキュリティ運用の自動化など、より高度なセキュリティ対策の検討が進むことが期待される。組織のセキュリティ成熟度を高めるためには、継続的な監視と迅速な対応体制の構築が不可欠だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21390, (参照 25-02-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧