3月11日以降、日本IBMの東京セキュリティー・オペレーション・センター(東京SOC)では震災情報を装った悪質なメールを多数確認している( 参考)。このようなメールの多くには不正に細工されたOfficeファイル(doc、xls)が添付されており、そのファイルを開くとウイルスに感染してしまう可能性がある。
あまり知られていないが、Microsoft Officeには、このような攻撃者が作成した不正なOfficeファイルをユーザーが開いてしまった場合にクライアントパソコン(PC)を守る機能が存在する。今回は、ユーザーを不正なOfficeファイルから守る「Microsoft Officeファイル検証(Office File Validation)」という機能と、同機能を利用して実際に不正なファイルを検知させた結果を紹介する。
■不正なOfficeファイルを検知する「Microsoft Officeファイル検証」とは
2011年4月13日、マイクロソフトから月例セキュリティアップデートと同時にMicrosoft Office 2003およびMicrosoft Office 2007にて利用できる「Microsoft Officeファイル検証」(KB2501584 http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx)機能が公開された。Officeファイル検証機能とは、Office 文書ファイル(xls, doc, ppt, pub)が正常なファイル構造であるかどうかを検証する機能である。異常なファイル構造になっているOffice 文書ファイルは、Officeアプリケーションの脆弱性を攻撃するために細工されている可能性が高い。この機能を利用すれば、もしもOfficeアプリケーションにゼロデイ攻撃が発生し、ウイルス対策ソフトなどで対応できていない状態でも、不正に細工されたOffice 文書ファイルのファイル構造をチェックして適切に守ってくれる可能性がある。
■「Microsoft Officeファイル検証」を有効にする
Microsoft Office 2010を利用している場合は、標準的にこの機能が有効化されているため、特に追加の設定やインストールなどは必要ない。Microsoft Office 2003およびMicrosoft Office 2007の場合は、2011年4月度のセキュリティ更新プログラム(MS11-021、MS11-022、MS11-023)の適用と、以下の追加プログラムのインストールが必要になる(2011年4月29日現在)。
●Microsoft Office 2003 を利用している場合
Microsoft Office Word 2003 セキュリティ更新プログラム(KB2464603)
Microsoft Office Publisher 2003 セキュリティ更新プログラム(KB2464598)
●Microsoft Office 2007 を利用している場合
Microsoft Office Word 2007 セキュリティ更新プログラム(KB2464605)
Microsoft Office Publisher 2007 セキュリティ更新プログラム(KB2464599)
●すべての環境で適用が必要
Microsoft Office ファイル検証アドイン(KB2501584)
これらのインストールが終われば自動的に機能が有効になる。Office ファイル検証機能が有効になった状態で、不正に細工されたOffice ファイルを開くと以下のようなエラーメッセージが表示される。
