情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2014年11月13日、ジャストシステムの日本語ワープロソフト「一太郎」シリーズに、標的型攻撃などに悪用される可能性がある深刻な脆弱性が見つかったとして、ユーザーに対して緊急対策を呼びかけた。

 第三者が同脆弱性を悪用して細工した文書ファイルを作ってメールなどで送り付け、ユーザーがこれを直接開くことにより、任意のコードを実行させられる危険がある。不正プログラムのインストールやデータの変更・削除などをシステム管理者(Administratorsグループ)権限で実行させられ、「PCを完全に制御されるリスクがある」(ジャストシステム)という。

 IPAとJPCERT/CCが共同運営する脆弱性情報提供サービス「JVN」(Japan Valnerability Notes)によれば、脆弱性の深刻度を共通尺度に基づいてスコア付けする「CVSS(Common Vulnerability Scoring System)」の基本スコアは「9.3」とかなり高い(最高は10.0)。

 対象となるのは、単体製品である「一太郎2008/ガバメント2008/2009/ガバメント2009/2010/ガバメント2010/Government 6/Government7/Pro/Pro 2/2011/2011創/2012 承/2013 玄/2014 徹」およびこれらを含む統合製品やSuite製品、パック製品など。体験版である「一太郎Pro 2 体験版」と「一太郎2014 徹 体験版」も該当する。

 対策方法は、製品については同社サイトから「一太郎共通セキュリティ更新モジュール」をダウンロードして適用する(ダウンロードページ)。体験版については、アンインストール後、あらためて最新版をダウンロードしてインストールするよう同社では勧めている。