米Microsoftは現地時間6月19日,同社の表計算ソフト「Microsoft Excel」に見つかったセキュリティ・ホールに関する情報(Security Advisory,セキュリティ アドバイザリ)を公表した。現時点では修正パッチ(セキュリティ更新プログラム)は未公開。このため,信頼できないファイルを開かないことなどが回避策となる。
今回のセキュリティ・ホールについては,同社のセキュリティ・チーム「Microsoft Security Response Center(MSRC)」がブログ上で6月16日に明らかにしている(関連記事:Excelにパッチ未公開のセキュリティ・ホール)。また,他のベンダーやセキュリティ組織も相次いで警告している。
今回のセキュリティ・ホールは,細工が施されたExcel文書ファイルを開くだけで,そのファイルに仕込まれた任意のプログラムを勝手に実行される危険なもの。このセキュリティ・ホールを悪用する文書ファイルが確認されたことで,セキュリティ・ホールの存在が明らかとなった。いわゆる,“ゼロデイ(0-day)”である。
Microsoftの情報によると,セキュリティ・ホールの影響を受けるのは,Microsoft Excel 2003,Excel Viewer 2003,Excel 2002,Excel 2000,Microsoft Excel 2004 for Mac,Microsoft Excel v. X for Mac。
現時点では修正パッチは未公表。このため,作成者が不明あるいは信頼できないファイルを開かないことが第一の回避策となる。特に,知らない相手からのメールに添付されたファイルは要注意。また,知っている相手からのメールに添付されたファイルでも,要求していない(身に覚えがない)ファイルについては,安易に開くのは危険である。
Microsoftでは,設定変更による回避策もいくつか紹介している。例えば,Excel 2003については,レジストリを変更することで今回のセキュリティ・ホールを突かれることを防げる。また,アイコンをダブルクリックしてもExcelファイルが開かないようにするレジストリの設定方法も紹介している(この設定にした場合には,Excelの「ファイル」メニューの「開く」からしか文書ファイルを開けなくなる)。これらの具体的な設定手順については,同社の情報を参照してほしい。
Microsoftが紹介している回避策は,いずれも“一時しのぎ”であり,セキュリティ・ホールを解消するものではない。このため,回避策を施している環境でも,修正パッチが公開され次第,速やかに適用したい。同社では,今回のセキュリティ・ホールを修正するパッチの開発を完了しているという。パッチの検証が終了すれば,7月の定例公開日(7月12日)を待たずにリリースされる可能性は高いと考えられる。
◎参考資料
◆Microsoft Security Advisory (921365) Vulnerability in Excel Could Allow Remote Code Execution
