17年前のExcel脆弱性が現役、CISAが異例の短期警告
2009年に修正されたはずのExcelの脆弱性が、2026年の今になって実際の攻撃に使われている。米CISAは4月14日付で連邦機関に対し、2週間という短い対応期限を課した。なぜこれが今ごろ「現役」に戻ってきたのか。
2009年に修正されたはずのExcelの脆弱性が、2026年の今になって実際の攻撃に使われている。米CISAは4月14日付で連邦機関に対し、2週間という短い対応期限を課した。なぜこれが今ごろ「現役」に戻ってきたのか。
17年前のCVEがKEVに戻ってきた
米国のサイバーセキュリティ機関CISAは4月14日、CVE-2009-0238とCVE-2026-32201の2件を「既知の悪用された脆弱性カタログ(KEV)」に追加した。前者は2009年2月24日に公表されたMicrosoft Office Excelのリモートコード実行脆弱性で、CVSSスコアは9.3。17年前の既知の欠陥が、今まさに攻撃に使われているという意味だ。
異例なのは対応期限の短さである。CISAは連邦民間行政機関(FCEB)に対し、4月28日までの修正を要求した。追加から14日間という設定で、The Registerによれば通常より1週間短い。KEV追加としては強い温度感だ。現場で何かが動いている、と読むのが自然だろう。
CVE-2009-0238に関するCISAの記述は、2009年当時のMicrosoftのアドバイザリから一文字も変わっていない。17年間、誰も新しい情報を付け加える必要がなかったということだ。
どんな脆弱性なのか
CVE-2009-0238は、当時のセキュリティ情報「MS09-009」で修正された問題の一つだ。細工されたExcelファイルを開かせることで、攻撃者が対象システムを完全に掌握できるというリモートコード実行の古典的パターンである。プログラムのインストール、データの閲覧・改変・削除、新規アカウント作成まで、管理者権限を持つユーザーであればすべてやられる。
影響を受けるバージョンの一覧を見ると、そのまま技術史の教科書になる。
- Microsoft Office Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1
- Excel Viewer 2003 Gold/SP3、Excel Viewer
- Word、Excel、PowerPoint 2007ファイルフォーマット互換パック SP1
- Mac向け Office 2004 および 2008 のExcel
Excel 2000。Windows XP以前の時代の製品である。2026年の現在、これらを現役で動かしている組織があるからこそ、CISAは警告を出す価値があると判断したのだろう。
当時、この脆弱性を最初に突いたマルウェアは「Trojan.Mdropper.AC」と呼ばれるローダー型で、別のマルウェアを送り込むための足場として使われていた。攻撃の手口自体は当時から知られている。つまり新しい手法が発見されたわけではなく、17年前と同じ攻撃が、同じ環境に通用し続けているという話だ。
なぜ今さら、という疑問への答え
これは脆弱性の話というより運用の話だ。Microsoftは2009年にパッチを出している。パッチを当てていれば終わる話である。にもかかわらずKEVに載ったということは、CISAが攻撃の実例を観測しており、かつ未適用の環境が相当数ある、という二重の事実がある。
ドイツのheise onlineはこの状況について、17年前の脆弱性がなぜ今も攻撃されるのか理解しがたい、セキュリティ更新を受けていない17年前のシステムが動いていることを意味する、と書いている。そのとおりなのだが、業界の経験値から言えば珍しくない。サポート切れのOfficeが、人事評価の都合で触られないまま業務に使われ続けている組織は世界中にある。
さらに興味深いのは、これが単発ではない点だ。CISAは今週初めにも、2012年に発見されたMicrosoftのVisual Basic for Applications(VBA)の脆弱性への攻撃を警告している。2012年と2009年。14年と17年。古い欠陥が掘り起こされているのは偶然ではなく、パッチ未適用の滞留を攻撃者が意図的に狙っていると見るべきだろう。
新しいゼロデイを探すよりも、既知のパッチが当たっていないホストを探す方が効率がいい。インターネット規模のスキャナーを持っていれば、それは日々の作業で自動化できる。17年前の欠陥は、攻撃者にとって新品同様の武器として再利用できる。
同時追加されたSharePointの穴
CVE-2009-0238と一緒にKEVに載ったもう一件は、まったく別の世代の問題だ。CVE-2026-32201(CVSS 6.5)はSharePoint Serverのスプーフィング脆弱性で、今週のパッチチューズデーで修正されたばかりのゼロデイである。入力検証の不備によって、ネットワーク経由で情報の偽装が可能になる。
パッチ管理ベンダーAction1のマイク・ウォルターズ(Mike Walters)社長は、「信頼を偽装できる欠陥だ。正規に見えるものが、実は綿密に作られた欺瞞でありうる」と指摘している。
重要情報へのアクセスや、表示されるデータの改変が可能になるため、フィッシングや従業員向けの標的型詐欺の道具に使われる可能性がある。SharePointは社内の情報共有基盤として信頼されているからこそ、その上での偽装は被害を広げやすい。
新旧の脆弱性がセットでKEVに載ったこの4月14日は、新旧の穴を同時に塞ぐ必要性を図らずも示す日になった。
教訓らしき何か
17年前の脆弱性が現役で動いているという事実を、笑ってはいけない。同じ現象は、おそらくあなたの組織の視界の外でも起きている。
稟議書に「Officeのバージョンアップ予算」と書いても決裁は下りないが、「ランサムウェア対応予算」なら下りる。先に下りた方の穴を、後から下りたお金で埋める構図が、サポート切れソフトを延命させる。
攻撃者はパッチ適用率の長い裾野を見ている。セキュリティ業界が新しいゼロデイに騒いでいる間、足元では2009年産の武器が静かに働き続けている。これは攻撃者が怠けているのではなく、防御側の時間軸が長すぎるということの証明でもある。
古い脆弱性が掘り起こされるたびに、我々は同じ問いに戻ってくる。使われていないバージョンは、本当に使われていないのか。
参照元
- CISA - CISA Adds Two Known Exploited Vulnerabilities to Catalog
- Microsoft - Security Bulletin MS09-009
他参照
- The Register - Ancient Excel bug comes out of retirement for active attacks
- heise online - Warning of attacks on 17-year-old Excel vulnerability
関連記事
- Microsoft 4月パッチ165件、史上2位の異常規模
- Adobe Readerゼロデイ、PDFを開くだけで情報流出
- ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
- イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
- Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
- AIが約36万円でChromeの脆弱性攻撃コードを完成させた話
- Defenderが悪性ファイルを元の場所に書き戻す奇妙な挙動
- Edgeが他社AIを遮断しCopilotへ誘導する新機能
- Windows Recallの金庫、再び破られる──MSは「問題なし」
- Windows Server 2025の4月更新でBitLocker回復画面が発動──もはや恒例行事か
