サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft Officeゼロデイ脆弱性(CVE-2026-21509)の緊急パッチ公開:活発な悪用を確認

カテゴリ:

概要と緊急対応

Microsoftは2026年1月27日、活発な悪用が確認されていた高深刻度のMicrosoft Officeゼロデイ脆弱性「CVE-2026-21509」に対する緊急の帯域外(out-of-band)セキュリティパッチを公開しました。この脆弱性はCVSSスコア7.8と評価されており、Microsoft Officeにおけるセキュリティ機能のバイパスとして分類されています。

Microsoftはアドバイザリで、「Microsoft Officeにおけるセキュリティ判断における信頼できない入力への依存が、不正な攻撃者がセキュリティ機能をローカルでバイパスすることを可能にする」と説明しています。具体的には、この更新プログラムは、ユーザーを脆弱なCOM/OLEコントロールから保護するMicrosoft 365およびMicrosoft OfficeのOLE緩和策をバイパスする脆弱性に対処します。

この脆弱性の悪用は、攻撃者が特別に細工されたOfficeファイルを送信し、受信者にそれを開かせることによって成立します。注目すべきは、プレビューペインは攻撃ベクトルではないと指摘されている点です。

パッチ適用と更新プログラム

ユーザーは、お使いのOfficeバージョンに応じた対応が求められます。

  • Office 2021以降のユーザー: サービス側の変更により自動的に保護されますが、変更を有効にするにはOfficeアプリケーションの再起動が必要です。
  • Office 2016および2019のユーザー: 以下の更新プログラムを手動でインストールする必要があります。

Microsoft Office 2019

  • 32ビット版: 16.0.10417.20095
  • 64ビット版: 16.0.10417.20095

Microsoft Office 2016

  • 32ビット版: 16.0.5539.1001
  • 64ビット版: 16.0.5539.1001

推奨される手動緩和策

パッチの適用に加え、Microsoftは以下のレジストリ変更による緩和策を推奨しています。

  1. レジストリのバックアップを取ります。
  2. すべてのMicrosoft Officeアプリケーションを終了します。
  3. レジストリエディターを起動します。
  4. お使いのOffice環境に合った適切なレジストリサブキーを見つけます。
  • 64ビット版MSI Officeまたは32ビット版Windows上の32ビット版MSI Officeの場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
  • 64ビット版Windows上の32ビット版MSI Officeの場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
  • 64ビット版Click2Run Officeまたは32ビット版Windows上の32ビット版Click2Run Officeの場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\
  • 64ビット版Windows上の32ビット版Click2Run Officeの場合:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
  1. COM Compatibilityノードを右クリックし、「新規」>「キー」を選択して、新しいサブキー「{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}」を追加します。
  2. 新しいサブキーを右クリックし、「新規」>「DWORD (32ビット) 値」を選択して、新しい値を追加します。
  3. Compatibility Flags」という名前のREG_DWORD(16進数)値を「400」に設定して追加します。
  4. レジストリエディターを終了し、Officeアプリケーションを起動します。

背景と各機関の対応

Microsoftは、CVE-2026-21509を悪用した攻撃の性質や範囲については詳細を共有していません。この問題の発見には、Microsoft Threat Intelligence Center (MSTIC)、Microsoft Security Response Center (MSRC)、およびOfficeプロダクトグループセキュリティチームが貢献したとされています。

この事態を受けて、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用されている脆弱性(KEV)カタログ」に追加しました。これにより、連邦政府機関(FCEB)は2026年2月16日までにパッチを適用することが義務付けられています。

元記事: https://thehackernews.com/2026/01/microsoft-issues-emergency-patch-for.html

投稿をさらに読み込む