Microsoft Office のゼロデイを $30,000 で販売:Zeroplayer 脅威アクターはロシア由来?

Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums

2025/11/20 CyberSecurityNews — Microsoft Office/Windows システムを標的とする、ゼロデイのリモート・コード実行 (RCE) 脆弱性とサンドボックス・エスケープを、Zeroplayer と呼ばれる脅威アクターがアンダーグラウンドで販売しているとの報道がなされている。このエクスプロイトは $30,000 で販売され、最新バージョンを含む大半の Office ファイル形式で動作し、パッチが完全に適用された Windows にも影響を与えるとされている。

このエクスプロイトを用いる攻撃者は、Microsoft の堅牢なサンドボックス保護を回避し、ユーザーによる操作を最小限に抑えながら、任意のコード実行の可能性を得るため、サイバー・セキュリティ・コミュニティでは懸念が高まっている。

著名なハッキング・フォーラムにロシア語で投稿された広告では、「悪意の Office ドキュメントを通じて、このゼロデイ脆弱性のペイロードを配布すれば大きな影響を引き起こせる」と説明されている。このエクスプロイト・チェーンにより、リモート攻撃者は Office サンドボックスを回避し、Windows システム全体を侵害できると、Zeroplayer は主張している。

その配信方法は、Word/Excel 文書などの一般的なファイル形式にエクスプロイトを埋め込み、フィッシング・メールや侵害済みの Web サイトを介して配布するというものだ。

Microsoft Office 0-Day RCE Claim
Alleged Microsoft Office 0-Day Claim
ハッカー・フォーラム掲載情報

この販売者が強調するのは、デモンストレーションやコンセプト実証の詳細についてのプライベート・メッセージでのサポートと、ウイルス対策ツールによる検出を緩和するための継続的なアップデートと互換性への約束である。

Zeroplayer がエクスプロイト市場に参入するのは、今回が初めてのことではない。この脅威アクターは、2025年7月にも WinRAR のゼロデイ RCE を $80,000 で販売しており、広く使用されているアーカイブ・ソフトウェアを標的としていたが、生産性向上ソフトウェアへ向けて活動を拡大したことになる。

このようなマルウェアの売買が浮き彫りにするのは、地下経済におけるゼロデイ脆弱性の利益率の高さである。修正プログラムが公開される前のゼロデイ脆弱性が、エクスプロイトとして高額で取引されている。

2025年11月の Microsoft Patch Tuesday では、Office の複数の深刻なリモート・コード実行 (RCE) 脆弱性が修正されている。その中には、悪意のドキュメントを介して悪用可能な、メモリ解放後使用の脆弱性 CVE-2025-62199 も含まれている。

しかし、この月のパッチは既知の問題に焦点を当てたものであり、サンドボックス・エスケープのゼロデイ脆弱性について言及されていなかった。つまり、未修正の脆弱性による潜在的な攻撃の可能性が示唆されている。

サンドボックス・エスケープは、きわめて危険なものである。マクロベースの攻撃に対する、Office の主要な防御機能の1つが無効化され、ネットワークの横方向へとマルウェアが拡散する可能性があるからだ。

専門家たちによると、この種のリストをホストするロシア語のフォーラムは、国家に支援される APT や、金銭目的の脅威アクターの拠点となることが多く、このようなエクスプロイトの悪用により、ランサムウェア/スパイ活動/データ窃盗につながる可能性があるという。

2023年にはロシアのグループ Storm-0978 が、Windows の脆弱性 CVE-2023-36884 を悪用するなど、過去においても同様のインシデントが発生しており、欧米の標的に対するバックドア展開に Microsoft 製品の RCE が悪用されてきた。

このゼロデイ脆弱性による潜在的な影響は、Microsoft 365 に依存している企業にとって甚大なものとなる。攻撃者はこれを悪用してサプライチェーンを侵害したり、エンドポイント検出を回避して標的型侵入を実行したりする可能性がある。

世界中の 14 億台以上のデバイスに Office は広く普及しているため、パッチを適用していないシステムでの、スピアフィッシングによる感染リスクが高まっている。

ユーザー組織にとって必要なことは、Office ポリシーでマクロを無効化し、すべてのドキュメントで保護ビューを有効化し、高度な脅威保護ツールを導入することである。

Office ファイルを入り口にするゼロデイ脆弱性と、サンドボックス・エスケープを組み合わせて、Zeroplayer 脅威アクターが売買しているとのことです。表向きは通常のドキュメント操作に見えるのに、内部ではサンドボックスを抜けて Windows 全体で任意コード実行まで到達できてしまうという、設計の隙が狙われているようです。こうしたゼロデイが地下フォーラムで商品として扱われ、マクロ防御や既知のパッチではカバーしきれない部分が攻撃側に利用されていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Microsoft Office に関する情報を、ご参照ください。