MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証 | ScanNetSecurity
2025.10.04(土)

MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 日本電気株式会社(NEC)は6月20日、2022年5月27日に発見されたMSDTの脆弱性(CVE-2022-30190、別名Follina)を悪用したWordファイルに対し行った検証結果をブログで発表した。

 CVE-2022-30190は、Microsoftサポート診断ツール(MSDT: Microsoft Support Diagnostic Tool)に起因する脆弱性で、任意コードの実行が可能となる。2022年5月27日に、@nao_secが本脆弱性を悪用したWordファイルを発見し、後に@GossiTheDogが同脆弱性にFollinaという名前を付けている。

 本脆弱性には、下記のような特徴があり、比較的簡単に悪用可能な上に、ファイルを開いたり、選択したりするだけで任意コードが実行されてしまうため、非常に危険な脆弱性であると指摘している。

・VBAマクロを使用せずに悪用可能なため、マクロの無効化では防止できない
・Microsoft Wordだけでなく、RTF(リッチテキスト)形式でも悪用できる
・RTF形式の場合、エクスプローラーのプレビューウィンドウに表示されるだけで任意コードが実行される
・PowerShellコマンドのInvoke-WebRequest(wget)でも悪用できる

 NEC セキュリティ技術センターのリスクハンティングチームでは、本脆弱性を再現するPoCを作成し検証したところ、Wordファイルを開いただけでHTTP通信が発生し、Microsoftサポート診断ツール(MSDT)および電卓が起動された。

 また、エクスプローラーのプレビューウィンドウを有効にした上で、RTFファイルを開かずにクリックして選択しただけで、Microsoftサポート診断ツール(MSDT)および電卓が起動された。Word以外でも、PowerShellのコマンドでWebサーバにアクセスしただけで、Microsoftサポート診断ツール(MSDT)、および電卓が起動された。

 同ブログでは、本脆弱性の緩和策として、MSDT関連のレジストリキーの削除、グループポリシーでトラブルシューティングウィザードへのユーザアクセスを禁止するの2つを挙げている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  2. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  3. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  4. 日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」

    日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」PR

  5. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

ランキングをもっと見る
PageTop