LibreOfficeのWindows版に深刻な脆弱性(CVE-2025-0514)が発見され、最新のアップデートで修正された。ハイパーリンク処理の欠陥を悪用することで、攻撃者はユーザーの操作を誘導し、WindowsのShellExecute関数を通じて悪意のあるプログラムを実行させる可能性がある。

この脆弱性はCVSS v4.0で7.2と評価されており、LibreOffice 24.8から24.8.4のバージョンが影響を受ける。特に、CTRLキーを押しながらハイパーリンクをクリックする動作を利用して、不正なファイルの実行が可能になる仕組みだ。攻撃者は請求書や業務文書を装ったドキュメントを作成し、標的のユーザーに開かせることで感染を広げる可能性がある。

The Document Foundationは、LibreOffice 24.8.5で修正を実施し、非ファイルURLの誤認識を防ぐ対策を講じた。セキュリティ専門家は、すべてのWindowsユーザーに対し、最新バージョンへのアップデートを強く推奨している。すぐに更新できない場合は、ハイパーリンクの実行を無効化するなどの暫定的な防御策を講じるべきだ。

LibreOfficeの脆弱性CVE-2025-0514の仕組みと影響範囲

LibreOfficeのWindows版で発見された脆弱性CVE-2025-0514は、ハイパーリンク処理の不備に起因するものだ。この問題により、攻撃者は特定のリンクを悪用し、WindowsのShellExecute関数を通じて悪意のあるプログラムを実行させることができる。

ユーザーがCTRLキーを押しながらリンクをクリックすると、LibreOfficeはそのリンクをシステムの標準機能に渡し、結果として実行ファイルが起動する可能性がある。

影響を受けるのは、LibreOffice 24.8から24.8.4のWindows版であり、特にビジネス用途や個人ユーザーが多く利用する環境でリスクが高まる。

この脆弱性のCVSS v4.0スコアは7.2と評価されており、攻撃者が特定の条件下でリモートコード実行(RCE)を行える可能性が指摘されている。攻撃を成立させるには、ユーザーの操作が必要となるが、偽装した請求書やレポート内に不正なリンクを埋め込むことで、被害者が不用意にクリックするリスクがある。

この問題の深刻さは、LibreOfficeの基本的なセキュリティ機能が回避される点にある。通常、ShellExecuteに直接実行可能ファイルのパスが渡ることはないが、攻撃者は「非ファイルURL」という形式を利用して、この制限をすり抜ける手法を発見した。例えば、\\attacker-server\malicious.exe のようなリンクがローカルファイルとして解釈され、結果的にフィルタを回避できてしまうのだ。

LibreOfficeの修正内容と推奨される対策

この脆弱性に対応するため、LibreOfficeの開発元であるThe Document Foundationは、バージョン24.8.5にて修正を実施した。今回のアップデートでは、非ファイルURLの処理方法が変更され、攻撃者が意図的にShellExecuteを通じて悪意のあるコードを実行することができないようになっている。

修正作業は、allotropiaのStephen BergmanとCollaboraのCaolán McNamaraによって行われ、従来のフィルタがバイパスされる問題に対処する形でセキュリティ強化が施された。

開発元は、すべてのWindowsユーザーに対し、直ちにLibreOffice 24.8.5へアップデートすることを強く推奨している。特に、企業や官公庁などの環境では、業務用ドキュメントのやり取りが頻繁に行われるため、攻撃を防ぐための対策が必須だ。アップデートを適用できない場合、一時的な防御策として以下の方法が推奨されている。

  • LibreOfficeの設定でハイパーリンクの実行を無効化する
  • アプリケーションのホワイトリスト化を実施し、不明な実行ファイルをブロックする
  • メールやファイル共有システムで不審なドキュメントを警戒し、開く前に十分な検証を行う

また、過去の事例からもわかるように、オフィスソフトウェアの脆弱性は、攻撃者にとって魅力的な標的となる。2018年にはLibreOfficeのWEBSERVICE関数の脆弱性(CVE-2018-6871)が発見され、細工されたスプレッドシートの数式を利用して情報を盗み出す手法が明らかになった。

今回のCVE-2025-0514も同様に、Windowsの正規機能を悪用する「Living-off-the-Land(LOL)」攻撃に分類されるものであり、今後も同様の手口が登場する可能性がある。

LibreOfficeの脆弱性が示すオフィスソフトの新たなセキュリティ課題

今回のCVE-2025-0514の発覚は、オフィスソフトウェアのセキュリティ課題が依然として続いていることを示している。

LibreOfficeはオープンソースのオフィススイートとして広く利用されているが、利便性の向上を目的とした機能が、結果的に攻撃の足がかりとなることがある。特に、ハイパーリンク機能のようなユーザビリティを向上させる要素が、セキュリティリスクと表裏一体であることが改めて浮き彫りとなった。

オフィスソフトにおける脆弱性は、単なるソフトウェアの欠陥ではなく、広範な影響を及ぼす可能性がある。たとえば、企業では日常的にメールで送受信される文書ファイルが攻撃の対象となり得る。

特に、業務上のやり取りにおいて「信頼できる送信元だから大丈夫」といった油断が生じやすく、攻撃者はこうした心理を突いてくる。今回の脆弱性のように、ユーザーの操作を必要とする攻撃では、「クリックするだけでは危険がない」と考えてしまうケースもあるため、注意が必要だ。

今後、LibreOfficeに限らず、Microsoft OfficeやGoogle Docsなどの他のオフィスソフトにおいても、同様の問題が発生する可能性は否定できない。

オープンソースソフトウェアのメリットは、迅速な修正と透明性のある開発プロセスにあるが、その一方で、新たな脆弱性が発見されるたびに、ユーザー側の対応が求められる。結果として、最新バージョンへの迅速なアップデートや、日頃のセキュリティ意識の向上が、安全な利用環境を維持するために不可欠となる。

Source:Cyber Security News