電子メールに届いたExcelファイルを開いただけで、PCが乗っ取られる。そんなシナリオにつながるExcelの重大な脆弱性の詳細をSentinelOneが分析した。攻撃者はこれをどのように悪用し、防御側は何を監視すべきなのか。その技術的ポイントを整理する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
SentinelOneは2026年6月23日(現地時間)、「Microsoft 365 Apps」などに影響する脆弱(ぜいじゃく)性(CVE-2025-60727)の技術的分析を公開した。
CVE-2025-60727は「Microsoft Excel」(以下、Excel)に存在する境界外読み取りの脆弱性だ。利用者が細工されたExcel文書を開くと、現在の利用者権限で任意コード実行(RCE)が実行される恐れがある。攻撃に認証や管理者権限は不要で、利用者が文書を開くことが成立条件となる。
Office文書は電子メールなどを通じて日常的にやりとりされるため、攻撃の入り口として悪用されやすい。SentinelOneは脆弱性の仕組みや攻撃シナリオ、検知・対策のポイントを整理して紹介した。
同脆弱性の影響を受ける製品は以下の通りだ。
SentinelOneは、Excelが文書を解析する際の長さ情報やオフセット値の検証に不備があることが原因と分析している。細工されたExcel文書を解析する過程で、本来参照すべき範囲を超えてメモリを読み取る状態が発生することで、最終的にはRCEにつながる可能性がある。詳細な悪用手法は公表されていない。
攻撃者は細工したExcel文書を作成し、電子メールの添付ファイルや悪意あるWebサイト、ファイル共有サービス、USBメモリなどを通じて標的に送り付けることが想定される。利用者が脆弱性を含む環境で文書を開くと攻撃が成立する可能性がある。
現時点で公開情報にはPoCや実際の悪用事例は含まれていない。しかし、Office製品のRCE脆弱性は修正プログラム公開後にPoCが登場し、攻撃に悪用されるケースもあるため、早期の更新適用が重要になる。
SentinelOneは、侵害の兆候として次のような挙動を挙げている。
また、EXCEL.EXEを起点にスクリプト実行や正規ツールの悪用が連鎖していないかどうかを確認するとともに、電子メール経由で届いたExcel文書の構造情報、Office関連テレメトリー、エンドポイントのプロセス情報、プロキシログを相関分析することで、文書を起点とした攻撃経路を追跡できるとしている。
監視基盤では、Microsoft Officeのテレメトリーや「Sysmon」のプロセスやイメージ読み込み情報、「Windows Defender Application Control」(WDAC)のログをSIEM(Security Information and Event Management)に集約し、継続的に監視する構成を推奨した。
さらに、文書を開いた直後に%APPDATA%配下に永続化ファイルが作成される、Runレジストリーキーが追加される、タスクスケジューラに登録される、利用者が書き込み可能な領域から署名のないDLLをExcelが読み込む、といった挙動も監視対象としている。
SentinelOneはMicrosoftが公開済みの更新プログラムの適用を最優先事項としている。まず対象製品の資産を把握し、未更新端末を洗い出した上で、外部から受け取る文書を扱う利用者を優先して更新することを推奨した。
Microsoft 365 AppsではClick-to-Runチャネルを最新版に維持し、買い切り版Officeでは該当する更新プログラムを適用するよう案内している。製品ごとのKB番号やビルド番号は「Microsoft Security Update Guide」で確認できる。
この他、SentinelOneはインターネット由来の文書や電子メール添付ファイルには「Protected View」を適用し、マクロや外部コンテンツを制限すること、攻撃対象領域(アタックサーフェス)を縮小させるルールを利用してOfficeから子プロセスを起動させる挙動や他プロセスへのコード注入を防止すること、信頼できない送信元から届いたExcelファイルの受信を制御することも有効な対策として挙げた。これらの多層的な防御策を組み合わせることで、脆弱性を悪用した攻撃が成立する可能性を低減できるとしている。
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ