「PowerPoint」に新たな脆弱性--「Office」全体に影響が及ぶ可能性も

　先月の再現か？Microsoftが月例パッチを出したすぐ翌日、「Microsoft Office」の新しいセキュリティホールがサイバー攻撃に悪用されている。

　Symantecのセキュリティ専門家は米国時間7月12日に警告を出し、これらの攻撃で悪用されているPowerPointの脆弱性はこれまで知られておらず、パッチも用意されていないことを明かした。警告によると、この脆弱性は「Microsoft Office」全体に影響が及ぶ可能性もあるという。

　Microsoftは13日に電子メールで声明を出し、同社がこの問題を調査中であることを明かした。同社では、この脆弱性を悪用する攻撃を認識しているが、これらは「極めて限定的で、対象が絞られた攻撃」だという。Microsoftの指摘によると、電子メールなどで入手した悪質なPowerPointファイルをユーザーが開かなければ攻撃は成功しないという。

　ただ、歴史は繰り返されるようだ。先月の月例パッチから数日後にも、Microsoft Excelにある「ゼロデイ」の脆弱性が攻撃に利用されている、との警告をセキュリティ専門家らが発している。Microsoftは、Excelのこの脆弱性に対するパッチを11日にリリースしている。

　PowerPointの脆弱性もExcelのものと同じように、攻撃者が脆弱なPCを完全に制御できるようにしてしまうと、Symantecは語っている。Symantecは警告を出し、「ユーザーが（悪質な）PowerPointのドキュメントを開くと脆弱性が悪用され、リモートからコードを実行できるようになる」と注意を呼びかけている。

　Microsoftは11日、複数の同社製品が抱える18カ所の脆弱性に対応した7件のセキュリティ情報をリリースした。このなかにはOffice関連の脆弱性も多く含まれていた。一部のセキュリティ専門家らは、月例パッチの公開直後というタイミングで攻撃が発生するのは偶然ではない、と考えている。Microsoftは通常、月例パッチのサイクルをはずしてこのような脆弱性に対応するパッチをリリースすることがない。

　ドイツのマグデブルク大学でウイルス対策ソフトウェアを専門にするAndreas Marx氏は、「悪者たちは、Microsoftの月例パッチの日を待って、Officeに残っている脆弱性を悪用しているようだ。彼らは、これでまた最低1カ月攻撃を続けられる」と述べている。

　Microsoftは、新しい脆弱性に関する調査が終了次第、顧客を保護するための措置を講じるという。内容としては、セキュリティ勧告の公表や、月例リリースの一環としてのセキュリティアップデートの提供などが考えられる。