米サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は、Microsoft Excelの脆弱性「CVE-2009-0238」を、既知の悪用脆弱性カタログ（KEV）に追加した。2009年に報告された古い欠陥だが、現在も実際の攻撃に悪用されていることが確認された。主な対象はサポートが終了した旧版Office製品で、利用環境の見直しが急がれる。

TechRadarによると、CISAは16日（現地時間）、同脆弱性をKEVに追加した。KEVは、実際に悪用が確認された脆弱性をまとめたリストで、米連邦機関などに優先対応を促す際の基準として使われる。

CVE-2009-0238は、細工されたExcelファイルを開くことで任意のコードが実行される恐れがある脆弱性だ。国家脆弱性データベース（NVD）によれば、攻撃者は不正なオブジェクトアクセスを引き起こすよう改ざんした文書を作成でき、ユーザーが当該ファイルを開いた時点でシステムが危険にさらされる可能性がある。

深刻度は高く、CVSS基本値は8.8。過去には「Trojan.Mdropper.AC」の拡散に悪用された事例も報告されている。

影響を受けるのは、主にサポート終了済みの旧版製品だ。具体的には、Excel 2000 SP3、2002 SP3、2003 SP3、2007 SP1のほか、Excel Viewer 2003、Office 2007互換機能パックSP1、Mac向けOffice 2004および2008のExcelが含まれる。修正パッチ自体はすでに提供されているが、一部の組織で旧版製品の利用が続いているため、依然としてリスクが残っているとみられる。

これを受け、CISAは連邦文民行政府機関（FCEB）に対し、今月28日までに対応を完了するよう求めた。実際の悪用が確認されていることから、優先度の高い脆弱性と判断した形だ。

現時点で、攻撃主体や具体的な目的は公表されていない。一方、セキュリティ業界では、悪意のあるExcelファイルを添付したフィッシングメールが主な侵入経路になった可能性があるとの見方が出ている。ただ、ランサムウェアとの直接的な関連は確認されていない。

一方、現在サポートされているExcelは今回の対象外とされる。Excel 2007 SP2以降のほか、2010、2013、2016、2019、2021、Microsoft 365向けExcelの全バージョンは影響を受けない。

今回の事例は、修正パッチが存在する古い脆弱性でも、放置すれば再び攻撃に使われ得ることを改めて示した。とりわけサポート終了ソフトを抱える組織では、文書ファイル1つがリモートコード実行の起点になりかねない。利用資産の棚卸しと製品更新を急ぐ必要がある。