CISA Warns of Microsoft PowerPoint Code Injection Vulnerability Exploited in Attacks
2026/01/08 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft PowerPoint のコード・インジェクション脆弱性 CVE-2009-0556 に関する緊急アラートと、Known Exploited Vulnerabilities (KEV) カタログへの登録である。これは、2009年に公開された古い脆弱性であるが、現在も悪意ある PowerPoint ファイルを用いた任意のコード実行により実際に悪用されている。これにより、システムのセキュリティが侵害され、機密データへの不正アクセスが発生する可能性がある。
脆弱性 CVE-2009-0556 は、Microsoft PowerPoint の OutlineTextRefAtom オブジェクト処理に脆弱性が存在するものだ。PowerPoint ファイル内に、無効なインデックス値を持つ OutlineTextRefAtom が含まれている場合に、メモリ破損が引き起こされる。この挙動を悪用する攻撃者は、影響を受けるシステム上に任意のコードを注入し実行できる。この欠陥は、コード・インジェクションの脆弱性を含む、緊急カテゴリー CWE-94 (コード生成の不適切な制御) に分類されている。
Microsoft PowerPoint のコードインジェクション脆弱性
この脆弱性を悪用することで、攻撃者は正当なデータ・チャネルを介して悪意の命令を挿入し、プログラムの実行フローを改変できる。この脆弱性の誘発は、ユーザーによる最小限の操作で可能となる。具体的には、特別に細工された PowerPoint プレゼンテーションをユーザーが開くだけでよい。その後に攻撃者は、影響を受けたユーザーの権限で任意のコードを実行できる。
この攻撃による被害は、システム全体の侵害/データ窃取/組織ネットワーク内でのラテラル・ムーブメント (横方向の移動) に発展する可能性がある。攻撃ベクターの単純さと、潜在的な影響の深刻さを踏まえると、この脆弱性は深刻な脅威となる。
2026年1月7日に CISA は、CVE-2009-0556 を KEV カタログへ追加し、連邦政府組織に対する修正期限を 2026年1月28日までと定めた。
CISA は、3つの重要な対策を推奨している。まず、ベンダー提供の緩和策を直ちに適用すること。次に、クラウド・ベース・サービスに関する BOD 22-01 ガイダンスを遵守すること、さらに、パッチが利用できない場合には、脆弱な PowerPoint バージョンの使用を完全に中止することである。
ユーザー組織として最優先とすべきは、すべての影響を受ける PowerPoint バージョンを実行しているシステムに対して、Microsoft のセキュリティ・パッチを直ちに適用することだ。
また、メール・セキュリティ対策を強化し、不審な PowerPoint 添付ファイルをフィルタリングする必要がある。さらに、ユーザー意識向上トレーニングを実施し、信頼できない送信元から送付される予期しないプレゼンテーションを開くリスクを強調すべきである。
Microsoft PowerPoint の脆弱性 CVE-2009-0556 は、2009年に見つかった古い欠陥ですが、今でも攻撃に使われているため、CISA が改めて注意を呼びかけています。この脆弱性の原因は、PowerPoint がファイル内の特定のデータ (OutlineTextRefAtom オブジェクト) を読み込む際に、そこに含まれる正しくない数値を処理しようとして、メモリの状態を壊してしまうことにあります。この処理の不備を突かれると、悪意を持って作られたプレゼンテーション・ファイルを開くだけで、攻撃者による命令が実行されてしまう恐れがあります。ご利用のチームは、ご注意ください。よろしければ、PowerPoint での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.