マクロ無効化でも防げない MS製品のゼロデイ脆弱性を解説
Microsoft Officeにおける全てのバージョンのファイルに影響を与え、マクロ無効化でも防げない脆弱性「Follina」が発見された。有識者やMicrosoftの発表やガイダンスを基に、Follinaのゼロデイ脆弱性について解説する。
2022年5月27日、Microsoft Officeにおける全てのバージョンのファイルに影響を与える脆弱(ぜいじゃく)性が発見され、「Follina」と名付けられた。Follinaを悪用した攻撃はマクロ無効化でも防げないという。
セキュリティ企業の研究者やMicrosoftの発表やガイダンスを基に、Follinaのゼロデイ脆弱性について解説する。
対応方法は至ってシンプル セキュリティの基本を再確認
米サイバーセキュリティ・インフラストラクチャセキュリティ庁(The Cybersecurity and Infrastructure Security Agency)は2022年5月31日(現地時間)、「Windows」のMicrosoftサポート診断ツールに影響を与える脆弱(ぜいじゃく)性の回避策について、管理者およびユーザーにガイダンスを確認するように促した(注1)。
セキュリティ関連企業Huntressのシニアセキュリティリサーチャーであるジョン・ハモンド氏によると、研究者のnao_secは2022年5月27日、VirusTotalで「CVE-2021-40444」に関わる攻撃を調べている最中に、OfficeファイルやRTFファイルを使用して任意のコードを実行できる脆弱性を発見した(注2)。脆弱性はセキュリティ研究者のケビン・ボーモント氏によって「Follina」と命名された。
2022年5月27日の「Twitter」への投稿によると、新しい脆弱性はベラルーシから提出された文書に関連しており、「Word」の外部リンクを使ってHTMLを読み込み、「ms-msdt」を使ってPowerShellコードを実行するものだった。ボーモント氏によると、この脆弱性は、RTFファイルを使用する場合、Officeにおける全てのバージョンのファイルで悪用可能だという(注3)。
新たなゼロデイ脆弱性とはいえ、防御はセキュリティの基本的な対策に帰結する。企業は、フィッシングやソーシャルエンジニアリングの攻撃の見抜き方をユーザーに教育することで攻撃を防げるという。
ハモンド氏はエンドポイントにパッチが適用されるまでは、悪意のある電子メールを特定して削除するようユーザーを教育することが最善の防御策になる」と述べる。当面企業は「msdt.exe」や「sdiagnhost.exe」など、Office製品で作成される不正な子プロセスに注意する必要があるという(注4、5)。
Microsoftは、トラブルシューターがリンクとして起動するのを防ぐ、「MSDT URLプロトコル」を無効にすることを回避策として提案した。Microsoftはまた、「Microsoft Defender Antivirus」を使用中の顧客に対して、クラウド配信による保護と自動サンプル送信をオンにするよう伝えている。これらは、ML(機械学習)を含めたAI(人工知能)を利用して、新しい未知の脅威を特定し、停止させる機能だ。
Microsoftはこの脆弱性に関するガイダンスを発表し、「CVE-2022-30190」の識別番号でセキュリティアップデートを公開した。同社はブログで「この脆弱性の悪用に成功した攻撃者は、プログラムのインストール、データの表示、変更、削除、新しいアカウントの作成が可能になる」と述べている。研究者は、今のところ既知のパッチは存在しないと話す。またCISAによると、Microsoftはこの脆弱性が活発に利用されていることを報告したという(2022年5月31日時点)。
なお、同脆弱はMicrosoftの6月月例セキュリティ更新プログラムで修正されている。
出典:Microsoft Office zero day leaves researchers scrambling over the holiday weekend(Cybersecurity Dive)
注1:Microsoft Releases Workaround Guidance for MSDT "Follina" Vulnerability
注2:Threat Advisory: Hackers Are Exploiting CVE-2021-40444
注3:Follina a Microsoft Office code execution vulnerability
関連記事
「ランサムウェアギャング」とは? 国際犯罪との攻防をFBIが公表
FBI長官がサイバー犯罪集団による「破滅的な攻撃」との攻防に言及し、直近では小児病棟への攻撃を阻止したことを報告した。
なぜあの業界はランサムウェアの“カモ”になりやすいのか?
業種、業界を問わず、ランサムウェアによる被害が止まない。アナリストによれば、特に注意すべき業界と時期があるという。
関連リンク
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- Copilot for Microsoft 365でリスクになるNG設定とは 管理者の目線で解説
- Teamsマスター直伝 会議、プレゼン、情報共有で使えるテクニック集
- 創業100年ヤマト、DX推進を支える人材の育成方法がすごい
- 2つのExcel「M365 Apps版」と「デスクトップアプリ」の違い、それぞれの使いどころ
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
- アイダ設計とLIXILが語る、システム開発経験ゼロの現場がノーコード開発を進めるコツとは?
- Ctrl+C/Vより便利なコピペ法って? 「意外と使う」Excelショートカット一覧
- 「バリューチェーン」と「バリューストリーム」の違い、分かる?
- 無料でデータ分析が学べる「Tableau Public」とは? メリットと使い方、注意点
- 「Slack AI」で生産性爆上げ 効果的な使い方と先行ユーザーの声
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。