TeamsやExcelが踏み台に？ macOS版Microsoftアプリの脆弱性とは：Cisco Talosが指摘

Cisco Talosは、macOS向けのMicrosoftのアプリケーションに関する脆弱性を報告した。Microsoft ExcelやMicrosoft Teamsといった主要ツール8個が対象になる。どのような脆弱性なのか。

[Alex Scroxton，TechTarget]

　Cisco Systemsのセキュリティ研究機関Cisco Talosは、「macOS」用のMicrosoftのアプリケーションに脆弱（ぜいじゃく）性があると警鐘を鳴らした。表計算ツール「Microsoft Excel」やWeb会議ツール「Microsoft Teams」など8つのアプリケーションが対象になる。この脆弱性が悪用されれば、ユーザーの権限が不正に利用される可能性がある。どのような脆弱性なのか。

macOS版Microsoftアプリケーションの脆弱性とは

併せて読みたいお薦め記事

インジェクション攻撃への対抗法とは

• APIを狙う「インジェクション攻撃」から個人情報を守るには？
• ChatGPTも危ない、生成AI標的の「プロンプトインジェクション攻撃」とは

　AppleはMicrosoftなどサードパーティー製アプリケーションの利用に関して、アクセス制御を設けている。サードパーティー製アプリケーションがカメラやマイク、フォルダなどにアクセスするには、ユーザーの同意が必要だ。同意の要求はポップアップで表示される。macOSではサードパーティー製アプリケーションに不正なプログラムが入らないための対策も取られている。

　Cisco Talos研究員のフランチェスコ・ベンベヌート氏によると、一連の対策は全て連携して動作することでシステムを保護できるようになっているが、プロセス空間（プログラムを実行するためのメモリの領域）に悪意のあるコードを挿入できれば、そのアプリケーションに付与された全ての権限の使用が可能になる。

　macOSのセキュリティの仕組みは、アプリケーションが責任を持って権限を処理することで安全性が確保される考え方に基づいているとベンベヌート氏は指摘する。「その責任が果たされなければ、権限付与の仕組みが侵害され、アプリケーションは意図せず不正行為の踏み台となりかねない」（同氏）

　Cisco Talosの調査によれば、対象となっているMicrosoftのアプリケーションでは攻撃者がライブラリ（プログラムの部品群）を挿入することで不正にアクセス許可を取得できる可能性がある。Cisco Talosが指摘した脆弱性には以下の「CVE」（Common Vulnerabilities and Exposures：脆弱性識別子）が割り当てられている。

• コラボレーションツール「Microsoft Teams」
  • CVE-2024-41138
  • CVE-2024-41145
  • CVE-2024-42004
• プレゼンテーションツール「Microsoft PowerPoint」
  • CVE-2024-39804
• デジタルノートツール「Microsoft OneNote」
  • CVE-2024-41159
• 文書作成ツール「Microsoft Word」
  • CVE-2024-41165
• メールクライアント「Microsoft Outlook」
  • CVE-2024-42220
• 表計算ツール「Microsoft Excel」
  • CVE-2024-43106

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。