「Excelを開くだけ」でコード実行 Officeの脆弱性を悪用する攻撃手口を解説:防ぐためにまずやるべきこととは?
電子メールに届いたExcelファイルを開いただけで、PCが乗っ取られる。そんなシナリオにつながるExcelの重大な脆弱性の詳細をSentinelOneが分析した。攻撃者はこれをどのように悪用し、防御側は何を監視すべきなのか。その技術的ポイントを整理する。
SentinelOneは2026年6月23日(現地時間)、「Microsoft 365 Apps」などに影響する脆弱(ぜいじゃく)性(CVE-2025-60727)の技術的分析を公開した。
CVE-2025-60727は「Microsoft Excel」(以下、Excel)に存在する境界外読み取りの脆弱性だ。利用者が細工されたExcel文書を開くと、現在の利用者権限で任意コード実行(RCE)が実行される恐れがある。攻撃に認証や管理者権限は不要で、利用者が文書を開くことが成立条件となる。
Office文書は電子メールなどを通じて日常的にやりとりされるため、攻撃の入り口として悪用されやすい。SentinelOneは脆弱性の仕組みや攻撃シナリオ、検知・対策のポイントを整理して紹介した。
Excelを開くだけでコード実行 「CVE-2025-60727」とは
同脆弱性の影響を受ける製品は以下の通りだ。
- Microsoft 365 Apps
- Excel 2016
- Office 2019
- Office LTSC 2021
- Office LTSC 2024
- Office Online Server
SentinelOneは、Excelが文書を解析する際の長さ情報やオフセット値の検証に不備があることが原因と分析している。細工されたExcel文書を解析する過程で、本来参照すべき範囲を超えてメモリを読み取る状態が発生することで、最終的にはRCEにつながる可能性がある。詳細な悪用手法は公表されていない。
攻撃者は細工したExcel文書を作成し、電子メールの添付ファイルや悪意あるWebサイト、ファイル共有サービス、USBメモリなどを通じて標的に送り付けることが想定される。利用者が脆弱性を含む環境で文書を開くと攻撃が成立する可能性がある。
現時点で公開情報にはPoCや実際の悪用事例は含まれていない。しかし、Office製品のRCE脆弱性は修正プログラム公開後にPoCが登場し、攻撃に悪用されるケースもあるため、早期の更新適用が重要になる。
侵害はどう見抜く? SentinelOneが示す検知ポイント
SentinelOneは、侵害の兆候として次のような挙動を挙げている。
- EXCEL.EXEからcmd.exe、powershell.exe、wscript.exe、mshta.exe、rundll32.exeなどが子プロセスとして起動する
- BIFF形式やOOXML形式に不自然な構造を持つExcel文書が確認される
- Excel文書を開いた直後に未知の外部サーバとの通信が発生する
- 文書解析時にアクセス違反を伴うExcelのクラッシュが発生する
また、EXCEL.EXEを起点にスクリプト実行や正規ツールの悪用が連鎖していないかどうかを確認するとともに、電子メール経由で届いたExcel文書の構造情報、Office関連テレメトリー、エンドポイントのプロセス情報、プロキシログを相関分析することで、文書を起点とした攻撃経路を追跡できるとしている。
監視基盤では、Microsoft Officeのテレメトリーや「Sysmon」のプロセスやイメージ読み込み情報、「Windows Defender Application Control」(WDAC)のログをSIEM(Security Information and Event Management)に集約し、継続的に監視する構成を推奨した。
さらに、文書を開いた直後に%APPDATA%配下に永続化ファイルが作成される、Runレジストリーキーが追加される、タスクスケジューラに登録される、利用者が書き込み可能な領域から署名のないDLLをExcelが読み込む、といった挙動も監視対象としている。
まずすべき対策は更新適用 運用面の防御も重要
SentinelOneはMicrosoftが公開済みの更新プログラムの適用を最優先事項としている。まず対象製品の資産を把握し、未更新端末を洗い出した上で、外部から受け取る文書を扱う利用者を優先して更新することを推奨した。
Microsoft 365 AppsではClick-to-Runチャネルを最新版に維持し、買い切り版Officeでは該当する更新プログラムを適用するよう案内している。製品ごとのKB番号やビルド番号は「Microsoft Security Update Guide」で確認できる。
この他、SentinelOneはインターネット由来の文書や電子メール添付ファイルには「Protected View」を適用し、マクロや外部コンテンツを制限すること、攻撃対象領域(アタックサーフェス)を縮小させるルールを利用してOfficeから子プロセスを起動させる挙動や他プロセスへのコード注入を防止すること、信頼できない送信元から届いたExcelファイルの受信を制御することも有効な対策として挙げた。これらの多層的な防御策を組み合わせることで、脆弱性を悪用した攻撃が成立する可能性を低減できるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
パッチ適用後も標的に? 32万台超のFortiGateを襲った「FortiBleed」の正体
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。