CVE-2026-21509: 積極的に悪用されるMicrosoft Officeゼロデイ、緊急パッチを強制

1月のパッチ火曜日のリリース直後、Windows Desktop Manager（CVE-2026-20805）におけるゼロデイを含む114の脆弱性に対応し、Microsoftは積極的に新しいバグ修正のための緊急のアウト・オブ・バンド更新を公開しました。今回は、CVE-2026-21509、スレットアクターが組み込みのセキュリティ機能を迂回できるMicrosoft Officeのゼロデイを標的としています。

Microsoftにより確認されたエクスプロイト事例を鑑み、この欠陥は即座に 追加され 、CISAの既知のエクスプロイトされた脆弱性（KEV）カタログに追加され、2026年2月16日までに米国連邦市民機関がパッチを適用することが要求されました。

Microsoftの製品はゼロデイエクスプロイトの魅力的なターゲットであり続けており、昨年は41の脆弱性がゼロデイとして特定され、そのうちの24は実際の攻撃で活用されました。これは Tenableによる報告です。WindowsのオペレーティングシステムとOfficeのコンポーネントは主な攻撃ベクトルであり、この傾向は2026年にも続いています。

SOC Prime Platformに登録、世界最大の検出インテリジェンスデータセットを集約した完全な製品スイートを提供し、SOCチームが検出からシミュレーションまでシームレスに処理するのに役立ちます。本プラットフォームは、いかなるレベルのサイバー脅威や重大なエクスプロイトに対応する大規模なルールコレクションを備えています。「CVE」タグでフィルタされた関連検出スタックに即座に掘り下げるには 検出を探索 を押してください。

検出を探索

すべてのルールは最新の MITRE ATT&CK® フレームワークv18.1にマッピングされ、複数のSIEM、EDR、データレイクプラットフォームと互換性があります。さらに、各ルールには CTI 参照、攻撃フロー、監査設定など広範なメタデータが含まれています。

サイバー防衛者はまた、 Uncoder AI を使用して、検出エンジニアリングのルーチンを効率化できます。生の脅威レポートを実行可能な行動規則に変え、検出ロジックをテストし、攻撃フローをマップし、IOCをハンティングクエリに変換するか、またはAIと深いサイバーセキュリティの専門知識を駆使して言語間で検出コードを瞬時に翻訳します。

CVE-2026-21509 分析

2026年1月26日に、Microsoftは アドバイザリ を発行し、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024、Microsoft 365 Apps for Enterpriseに影響を及ぼすセキュリティ機能バイパス脆弱性を詳細に説明しました。

セキュリティ問題は、セキュリティ決定においてMicrosoft Officeが信頼できない入力に依存することに起因します。これにより認証されていないローカルハッカーがセキュリティ機能をバイパスできます。具体的には、CVE-2026-21509は、Microsoft 365およびOfficeでOLEの緩和策をバイパスでき、脆弱なCOM/OLEコントロールにユーザーをさらします。

エクスプロイトは通常、攻撃者が送信した悪意のあるOfficeファイルをユーザーに開かせることで関与します。Microsoftはプレビューウィンドウが直接的な攻撃ベクトルではないと指摘していますが、この脆弱性は低複雑性のユーザーインタラクション攻撃を通じて依然として悪用される可能性があります。

Microsoftは、脆弱性の開示に関してその内部サイバーセキュリティ研究チームにクレジットを与え、エクスプロイトの事例について非常に少ない情報を共有しています。セキュリティアドバイザリは、野生でのエクスプロイト試みを確認するのみです。それでも、公開されたPoCエクスプロイトは入手できず、限られた数の脅威者が標的キャンペーンでこの欠陥を活用した可能性があります。

特に、Office 2021以降のユーザーは、アプリケーションを再起動した後にサービスサイドの修正を通じて自動的に保護されます。Office 2016と2019は、今後のセキュリティアップデートをインストールするか、手動でレジストリ変更を適用して脆弱なCOM/OLEコントロールをブロックする必要があります。これには、COM互換性レジストリノードの下に特定のサブキーを追加し、 Compatibility Flags DWORD値を 400に設定することが含まれます。ユーザーは変更を行う前にレジストリをバックアップし、保護が有効になるようにOfficeを再起動する必要があります。

対応するMicrosoft Office製品に依存する組織は、パッチを即座に適用するか、またはアドバイザリで説明されている緩和策を実行するように促されます。また、 SOC PrimeのAIネイティブ検出インテリジェンスプラットフォームを強化することにより、SOCチームは世界で最大かつ最新のリポジトリから検出コンテンツを取得し、検出からシミュレーションまでの全パイプラインをシームレスにセキュリティプロセスに採用し、自然言語でワークフローを編成し、変化し続ける脅威環境をスムーズにナビゲートし、広範囲にわたる防御を強化できます。