CVSSスコア9.8のMicrosoft Wordの脆弱性 PoCが公開される

Bleeping ComputerがMicrosoft Wordにおける脆弱性のPoC公開について警戒を呼びかけた。これが悪用された場合は影響が広範囲に広がる可能性がある。

[後藤大地，有限会社オングス]

　「Bleeping Computer」は2023年3月6日（現地時間）、Microsoftが2023年2月の累積更新プログラムで修正した「Microsoft Word」（Word）のリモートコードの脆弱（ぜいじゃく）性を利用するPoC（概念実証）が公開されたと呼びかけた。同脆弱性はCVSSスコア値が9.8と評価され、悪用された場合は、その影響が広範囲に及び攻撃ベクトルに悪用される可能性がある。

Proof-of-Concept released for critical Microsoft Word RCE bug（出典：Bleeping ComputerのWebサイト）

Wordの緊急脆弱性に悪用の可能性

　Wordの脆弱性（CVE-2023-21716）は共通脆弱性評価システム（CVSS）のスコア値が9.8と分析され、深刻度は緊急（Critical）だ。Microsoftはこの脆弱性に関して、2023年2月の累積更新プログラムで修正された。

　この脆弱性のCVSSスコア値が9.8になっているのは、複雑性が低く、悪用のための特権やユーザー操作が必要ないことが理由だ。この脆弱性のPoCを公開したセキュリティ研究者は、PoCコードを1つのTwitterのつぶやきに収めており、極めて短いコードで悪用可能であるとされる。

　Microsoftは本稿執筆時点においてCVE-2023-21716を悪用したサイバーセキュリティ攻撃は確認されていないとしており、今後もその可能性は低いと見ている。しかしBleeping Computerはその点に関して警戒を呼び掛けている。

　このWordの脆弱性は、多くのサイバー攻撃者の格好の標的となり得る。Microsoftがインターネットからダウンロードした「Microsoft Office」のマクロをデフォルトで無効化するという変更を行って以降、サイバーセキュリティ攻撃者はMicrosoft Officeファイルを攻撃ベクトルとして使えなくなり、別の手段を模索している。しかし「Wordが使えるなら使いたい」というのがサイバーセキュリティ攻撃者の考えだ。Wordファイルはユーザー数も膨大で、サイバーセキュリティ攻撃ベクトルとして魅力的な存在であり続けている。

　PoCはセキュリティ研究者に対して有効な資料となるが、これはサイバーセキュリティ攻撃者にとっても同じだ。サイバーセキュリティ攻撃者は公開されたPoCをベースにしてサイバーセキュリティ攻撃を考案する。Bleeping Computerはこの点に言及し、リスクの高い状況にあると指摘する。こうしたリスクを低減するために、Microsoftの公開するセキュリティ更新プログラムを適用していくことが有効だ。