米シマンテックは2008年3月21日、Microsoft Excelの脆弱(ぜいじゃく)性を悪用するプログラムが出回っているとして注意を呼びかけた。この脆弱性を解消するセキュリティ更新プログラム(修正パッチ)は公開済み。修正パッチを適用していれば、影響を受けない。
今回確認されたのは、3月12日に公開された「[MS08-014]Microsoft Excel の脆弱性により、リモートでコードが実行される (949029)」の脆弱性を悪用するプログラム。このプログラムを使えば、Excelの脆弱性を悪用する文書ファイル(拡張子がxls)を簡単に作成できてしまう。
「MS08-014」を悪用する文書ファイルは、3月12日以前に複数出現している。そのうちの一つは、北京オリンピックのスケジュール表などに見せかけてユーザーに開かせようとする「北京ウイルス」。しかしながら、いずれも特定の対象だけを狙った「スピアー攻撃(標的型攻撃)」だったため、広くは出回っていなかった。
ところが今回は、悪質な文書ファイルを作成するためのプログラムが、セキュリティ関連のメーリングリストやWebサイトなどに投稿され、誰でも入手可能な状態になった。実際、編集部でも同プログラムを確認済み。
シマンテックのセキュリティ情報提供サービス「Symantec DeepSight Threat Management System」が配信した情報によれば、3月23日時点では、このプログラムの悪用を確認していないという。しかしながら、今後悪用される危険性が高いとして警告している。
対策は3月12日に公開された修正パッチを適用すること。未適用のユーザーは今すぐ適用しておきたい。Microsoft Updateから適用可能。自動更新機能を有効にしていれば自動的に適用される。
Excel 2003向けの「MS08-014」用修正パッチについては、適用すると、特定の条件下において計算を間違えるという問題が見つかったが、現在では解消済み。Microsoft Updateや自動更新機能では、この問題を解消した修正パッチの新版を配布している。
