Microsoft 365 Apps の RCE 脆弱性 CVE-2025-60727:細工された Excel ファイルとコード実行

Microsoft 365 Apps RCE Vulnerability Lets Attackers Execute Code via Malicious Excel Files

2026/06/29 gbhackers — 新たに公表された Microsoft 365 Apps のリモート・コード実行 (RCE) の脆弱性が、エンタープライズ環境での懸念を高めている。悪意の Excel ドキュメントを用いる攻撃者により、標的システム上での任意のコード実行が可能になる。脆弱性 CVE-2025-60727 は、Microsoft Excel のファイル解析メカニズムに存在する範囲外読み取り (CWE-125) に起因する欠陥である。SentinelOne の報告によると、攻撃者はメモリ破損を引き起こし、ログイン中のユーザーのコンテキストでコードを実行できるとされている。

Microsoft 365 Apps の RCE 脆弱性

この脆弱性は、Microsoft 365 Apps (x86/x64)/Excel 2016/Office 2019/Office LTSC 2021/2024/Office Online Server などの、広範な Microsoft Office 製品に影響を及ぼすものであり、エンタープライズ/レガシー環境での攻撃対象領域を大幅に拡大させる。

問題の中核は、特別に細工されたスプレッドシート・ファイルを Excel が処理する際に、長さとオフセット値が適切に検証されない点にある。したがって、”.xls” や “.xlsx” などの Excel 形式の内部構造を操作する攻撃者は、アプリケーションに割り当て済みバッファの境界外のメモリを読み取らせることができる。

この範囲外読み取りにより、機密性の高いメモリ領域が露出する可能性がある。さらに、制御されたデータ構造と組み合わされることで、実行フローのリダイレクトによる任意コード実行に至る恐れがある。通常の攻撃においては、悪意のファイルをユーザーに開かせる操作が必要になるが、フィッシング・メール/ファイル共有プラットフォーム/ドライブ・バイ・ダウンロードなどを介した、きわめて現実的な配布手法による攻撃成立の可能性は高い。

悪用に成功した攻撃者は、被害者ユーザーと同じ権限でのコード実行を可能にする。それにより、システムの機密性/完全性/可用性が完全に侵害される可能性がある。その他にも、エンタープライズ環境におけるラテラル・ムーブメントと認証情報の窃取に加えて、ランサムウェア/情報窃取マルウェアなどの追加ペイロードの展開に至る恐れがある。

この記事の執筆時点では、実環境での悪用事例や公開済みの PoC コードは確認されていないが、標的型キャンペーンで一般的に見られるドキュメント・ベースの侵入手法と、この脆弱性の親和性は高い。

セキュリティ・チームにとって必要なことは、Excel を悪用する侵害の痕跡を積極的に監視することである。不審な挙動として挙げられるのは、Excel による cmd.exe/PowerShell/mshta.exe/rundll32.exe などの子プロセスの起動や、EXCEL.EXE により開始される予期しないアウトバウンド・ネットワークとの接続である。

さらに、異常な Object Linking and Embedding (OLE) オブジェクトや、異常なファイル構造を含む不正な Excel ドキュメント、ファイル解析中のアクセス違反を示すクラッシュ・テレメトリも重要な兆候となる。つまり、エンドポイント/メール・ゲートウェイ/プロキシのログを相関分析することで、悪用の試行やドキュメント・ベースの感染チェーンを特定できる。

すでに Microsoft は、CVE-2025-60727 に対処するセキュリティ更新プログラムをリリースしている。組織に対して強く推奨されるのは、すべての影響を受けるシステムでのパッチ適用を最優先で実施することである。

それと並行して、外部ソースから取得したファイルに対する Protected View の強制/Group Policy を利用するマクロと外部コンテンツのブロック/Office アプリケーションによる子プロセス起動を防止する Attack Surface Reduction (ASR) ルールの有効化などの緩和策が挙げられる。これらに加えて、信頼できないソースからの Excel ファイルのダウンロードを制限し、メール・フィルタリングを強化することで、さらにリスクを低減できる。

Excel は業務ワークフローで広く使用されているため、この脆弱性が浮き彫りにするのは、ドキュメント・ベースの攻撃ベクターがもたらす継続的なリスクである。多層的な防御策の実装が重要になる。