セキュリティ

SECURITY

公開：2024-08-24

【CVE-2024-38200】Microsoft 365 AppsとOfficeになりすまし脆弱性、マイクロソフトが対策を公開

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft 365 AppsとOfficeにおけるなりすまし脆弱性
• CVSS v3基本値6.5の警告レベルの脆弱性
• ベンダーから正式な対策が公開済み

Microsoft 365 AppsとOfficeのなりすまし脆弱性が発見

マイクロソフトは2024年8月13日にMicrosoft 365 AppsおよびOfficeにおけるなりすまし脆弱性を公開した。この脆弱性はCVE-2024-38200として識別されており、CVSS v3による深刻度基本値は6.5で警告レベルとされている。攻撃元区分はネットワークで攻撃条件の複雑さは低く利用者の関与が必要とされているが攻撃に必要な特権レベルは不要だ。^[1]

影響を受けるシステムにはMicrosoft 365 Apps for EnterpriseのほかOffice 2016、Office 2019、Office LTSC 2021の32ビット版と64ビット版が含まれている。この脆弱性が悪用された場合なりすまされる可能性があり機密性への影響が高いとされているが完全性と可用性への影響はないとされている。

マイクロソフトは既にこの脆弱性に対する正式な対策を公開しており「Security Update Guide」および「セキュリティ更新プログラムガイド」でMicrosoft Officeのなりすましの脆弱性に関する情報を提供している。ユーザーはベンダー情報を参照し適切な対策を実施することが推奨されている。

Microsoft 365 AppsとOfficeのなりすまし脆弱性の詳細

CVSSについて

CVSSとは共通脆弱性評価システム（Common Vulnerability Scoring System）の略称で情報セキュリティの分野で広く使用されている脆弱性の深刻度を評価するための標準化された手法だ。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 基本評価基準、現状評価基準、環境評価基準の3つの指標で構成
• ベンダーや研究者間で共通の脆弱性評価基準として機能

CVSSv3では攻撃元区分や攻撃条件の複雑さなど8つの指標を用いて基本値を算出している。今回のMicrosoft 365 AppsとOfficeの脆弱性ではCVSS基本値が6.5と評価されており警告レベルに分類されている。この評価により組織はセキュリティ対策の優先度を適切に判断できるのだ。

Microsoft 365 AppsとOfficeのなりすまし脆弱性に関する考察

マイクロソフトが迅速に脆弱性情報を公開し対策を提供したことは評価に値する。しかし広く使用されているOffice製品群に影響する脆弱性であるため多くのユーザーが潜在的なリスクにさらされている可能性がある。組織は速やかにセキュリティアップデートを適用し内部システムの点検を行う必要があるだろう。

今後の課題としては脆弱性の検出と修正のプロセスをさらに効率化することが挙げられる。マイクロソフトはAIを活用した脆弱性スキャンやパッチ管理システムの開発を進めることで製品のセキュリティ向上に努めるべきだ。また利用者側もセキュリティ意識を高め定期的なアップデートを心がけることが重要である。

期待される新機能としては脆弱性の影響を自動的に分析し組織のリスクレベルを可視化するツールが挙げられる。このような機能があればIT管理者はより迅速かつ効果的に対策を講じることができるだろう。マイクロソフトには今後もセキュリティ機能の強化と透明性の高い情報公開を継続することを期待したい。

参考サイト

1. ^ JVN. 「JVNDB-2024-006142 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-006142.html, (参照 24-08-24).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧