セキュリティ研究者らによってMicrosoft Officeにゼロデイの脆弱性が存在することが指摘された。この脆弱性はマクロを無効にしていても悪用可能であることから注目を集めた。指摘が行われた段階ですでに過去にサイバー攻撃に使われていたことも指摘されている(参考「Microsoft Officeにゼロデイの脆弱性、マクロ無効にしても悪用可能 | TECH+」)。

当初、Microsoftはこの挙動を仕様であるとして脆弱性の対象としてこなかったが、先日CVEを割り当ててて脆弱性として処理を行っていることを示した。本稿執筆時点では、アップデートの提供は行われていないが、回避策に関する文書が公開されたことで公式の方法でリスクの低減を図ることが可能になった(参考「Officeのマクロ無効が効かないゼロデイ脆弱性、Microsoftが回避方法公開 | TECH+」)。

しかし、この脆弱性に関してはアップデートの提供が行われるまで厳重な警戒が必要かもしれない。Proofpointは6月1日(米国時間)、 中国の国家利益に関与するとみられるサイバー攻撃を行っている持続的標的型攻撃(APT: Advanced Persistent Threat)アクター「TA413 CN」が、Microsoft Officeのこの脆弱性を悪用したサイバー攻撃を実施していることを確認したと伝えた(参考「Threat Insight / Twitter)。

  • Threat Insight / Twitter

    Threat Insight / Twitter

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)も「Microsoft Releases Workaround Guidance for MSDT "Follina" Vulnerability | CISA」において、この脆弱性が現実でサイバー攻撃に悪用されていることを指摘している。

Microsoft Officeにおいて外部からリモートコード実行が可能な脆弱性は、歴史的に見て広く悪用されてきた経緯がある。この脆弱性も今後長期にわたって悪用される可能性があり注意が必要。現在こうしたリスクが存在することを認識するとともに、今後のセキュリティ情報の提供に合わせて迅速に対応することが望まれる。