「Excelを開くだけ」でコード実行 Officeの脆弱性を悪用する攻撃手口を解説防ぐためにまずやるべきこととは?

電子メールに届いたExcelファイルを開いただけで、PCが乗っ取られる。そんなシナリオにつながるExcelの重大な脆弱性の詳細をSentinelOneが分析した。攻撃者はこれをどのように悪用し、防御側は何を監視すべきなのか。その技術的ポイントを整理する。

» 2026年07月01日 07時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 SentinelOneは2026年6月23日(現地時間)、「Microsoft 365 Apps」などに影響する脆弱(ぜいじゃく)性(CVE-2025-60727)の技術的分析を公開した。

 CVE-2025-60727は「Microsoft Excel」(以下、Excel)に存在する境界外読み取りの脆弱性だ。利用者が細工されたExcel文書を開くと、現在の利用者権限で任意コード実行(RCE)が実行される恐れがある。攻撃に認証や管理者権限は不要で、利用者が文書を開くことが成立条件となる。

 Office文書は電子メールなどを通じて日常的にやりとりされるため、攻撃の入り口として悪用されやすい。SentinelOneは脆弱性の仕組みや攻撃シナリオ、検知・対策のポイントを整理して紹介した。

Excelを開くだけでコード実行 「CVE-2025-60727」とは

 同脆弱性の影響を受ける製品は以下の通りだ。

  • Microsoft 365 Apps
  • Excel 2016
  • Office 2019
  • Office LTSC 2021
  • Office LTSC 2024
  • Office Online Server

 SentinelOneは、Excelが文書を解析する際の長さ情報やオフセット値の検証に不備があることが原因と分析している。細工されたExcel文書を解析する過程で、本来参照すべき範囲を超えてメモリを読み取る状態が発生することで、最終的にはRCEにつながる可能性がある。詳細な悪用手法は公表されていない。

 攻撃者は細工したExcel文書を作成し、電子メールの添付ファイルや悪意あるWebサイト、ファイル共有サービス、USBメモリなどを通じて標的に送り付けることが想定される。利用者が脆弱性を含む環境で文書を開くと攻撃が成立する可能性がある。

 現時点で公開情報にはPoCや実際の悪用事例は含まれていない。しかし、Office製品のRCE脆弱性は修正プログラム公開後にPoCが登場し、攻撃に悪用されるケースもあるため、早期の更新適用が重要になる。

侵害はどう見抜く? SentinelOneが示す検知ポイント

 SentinelOneは、侵害の兆候として次のような挙動を挙げている。

  • EXCEL.EXEからcmd.exe、powershell.exe、wscript.exe、mshta.exe、rundll32.exeなどが子プロセスとして起動する
  • BIFF形式やOOXML形式に不自然な構造を持つExcel文書が確認される
  • Excel文書を開いた直後に未知の外部サーバとの通信が発生する
  • 文書解析時にアクセス違反を伴うExcelのクラッシュが発生する

 また、EXCEL.EXEを起点にスクリプト実行や正規ツールの悪用が連鎖していないかどうかを確認するとともに、電子メール経由で届いたExcel文書の構造情報、Office関連テレメトリー、エンドポイントのプロセス情報、プロキシログを相関分析することで、文書を起点とした攻撃経路を追跡できるとしている。

 監視基盤では、Microsoft Officeのテレメトリーや「Sysmon」のプロセスやイメージ読み込み情報、「Windows Defender Application Control」(WDAC)のログをSIEM(Security Information and Event Management)に集約し、継続的に監視する構成を推奨した。

 さらに、文書を開いた直後に%APPDATA%配下に永続化ファイルが作成される、Runレジストリーキーが追加される、タスクスケジューラに登録される、利用者が書き込み可能な領域から署名のないDLLをExcelが読み込む、といった挙動も監視対象としている。

まずすべき対策は更新適用 運用面の防御も重要

 SentinelOneはMicrosoftが公開済みの更新プログラムの適用を最優先事項としている。まず対象製品の資産を把握し、未更新端末を洗い出した上で、外部から受け取る文書を扱う利用者を優先して更新することを推奨した。

 Microsoft 365 AppsではClick-to-Runチャネルを最新版に維持し、買い切り版Officeでは該当する更新プログラムを適用するよう案内している。製品ごとのKB番号やビルド番号は「Microsoft Security Update Guide」で確認できる。

 この他、SentinelOneはインターネット由来の文書や電子メール添付ファイルには「Protected View」を適用し、マクロや外部コンテンツを制限すること、攻撃対象領域(アタックサーフェス)を縮小させるルールを利用してOfficeから子プロセスを起動させる挙動や他プロセスへのコード注入を防止すること、信頼できない送信元から届いたExcelファイルの受信を制御することも有効な対策として挙げた。これらの多層的な防御策を組み合わせることで、脆弱性を悪用した攻撃が成立する可能性を低減できるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。