Excel のゼロデイ脆弱性が一般の環境下で拡散 2009年2月24日
Excel のゼロデイ脆弱性が一般の環境下で拡散
危険度: 高
2009年2月24日
【概要】
対象:
Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)
攻撃方法:
細工したExcelスプレッドシートをユーザが開くように誘導
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
マイクロソフトは、米国時間の2月24日にリリースしたセキュリティ情報で非常に深刻なExcelの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、修正パッチはまだ用意されていない。この脆弱性は、Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)に影響している。
マイクロソフトはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、細工されたExcelドキュメント(.xlsファイル)をユーザがダウンロードし、それを閲覧するように仕向け、脆弱性を悪用しそのユーザの特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はMicrosoft OfficeやExcelの利用者達にとって深刻なリスクである。マイクロソフトは脆弱性の修正パッチをリリースする予定でいるため、それまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
ウォッチガード・ユーザ:
送信されてきたExcelファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもExcelファイルが必要であるというのでなければ、マイクロソフトがこうした脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。Excelドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で.xls拡張子を設定すること。
【ステータス】
マイクロソフトが修正パッチをリリースするまでは、先に説明した対策を実施することをすすめる。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリ
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年2月24日
【概要】
対象:
Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)
攻撃方法:
細工したExcelスプレッドシートをユーザが開くように誘導
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
マイクロソフトは、米国時間の2月24日にリリースしたセキュリティ情報で非常に深刻なExcelの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、修正パッチはまだ用意されていない。この脆弱性は、Windows版とMac版のMicrosoft Excel 最新版(Excel Viewer、Office Compatibility Packも含む)に影響している。
マイクロソフトはつい最近この欠陥について知ったため、詳細については説明しておらず、攻撃者がどのようにその脆弱性を悪用するかについてのみ解説している。攻撃者は、細工されたExcelドキュメント(.xlsファイル)をユーザがダウンロードし、それを閲覧するように仕向け、脆弱性を悪用しそのユーザの特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はMicrosoft OfficeやExcelの利用者達にとって深刻なリスクである。マイクロソフトは脆弱性の修正パッチをリリースする予定でいるため、それまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和させることをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、次の対策を講じれば一般の環境化で広まっているこの攻撃のリスクを軽減させることができるだろう。
- 脆弱性についてユーザに連絡
予期していないExcel (.xls)ドキュメントが添付されたメールには警戒するよう忠告すること。そのドキュメントがどうしても必要であるというのでもなく、また送信者を信頼することができない場合はマイクロソフトの修正パッチを取り入れるまで、そのドキュメントを開かない方がいいだろう。
- 最新版にアップデートしているウィルス対策ソフトウェア(AV)を使用
この悪質なExcelファイルを検出するシグネチャをすでに用意しているAVベンダーもいる。まだ対応していないベンダーも近いうちにそうしたシグネチャを提供するだろう。
- 信頼できないExcelドキュメントを開く場合はMOICE(Microsoft Office Isolated Conversion Environment)を使用
MOICEはマイクロソフトのアドオンで、WordやExcel、PowerPointのバイナリ形式ファイルを安全に開くための特別な環境を提供できる。MOICE使用の詳細については、マイクロソフトのセキュリティ情報にある「推奨するアクション」の欄を参照することをすすめる。
- Fireboxのようなゲートウェイ・デバイスを使用してExcelを遮断する
ユーザがExcelファイルをダウンロードすることができなければ、こうした悪用の影響を受けることはないのだが、残念ながらそうすることで正常なExcelファイルも阻止してしまうことになる。ビジネス環境のニーズによってはマイクロソフトが修正パッチをリリースするまでExcelファイルをブロックしておいた方がいい場合もあるだろう。
ウォッチガード・ユーザ:
送信されてきたExcelファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上そうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもExcelファイルが必要であるというのでなければ、マイクロソフトがこうした脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。Excelドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で.xls拡張子を設定すること。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
マイクロソフトが修正パッチをリリースするまでは、先に説明した対策を実施することをすすめる。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリ
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。