マイクロソフトは10月5日,Microsoft ExcelおよびPowerPointにセキュリティ・ホールがあることを公表した。ある特定の細工が施されたExcelとPowerPointの文書ファイルについては,ExcelやPowerPointでのセキュリティ設定にかかわらず,そのファイルを開いただけでマクロが勝手に実行されてしまう恐れがある。その結果,ファイルの削除や設定変更を始めとする,あらゆる操作を許す可能性がある。現在のところ,日本語版用パッチ(修正プログラム)は公開されていない。そのため,唯一の回避策は怪しい文書ファイルを開かないことである。
影響を受けるバージョンは以下の通り。
- Microsoft Excel 2000 for Windows
- Microsoft Excel 2002 for Windows
- Microsoft Excel 98 for Macintosh
- Microsoft Excel 2001 for Macintosh
- Microsoft PowerPoint 2000 for Windows
- Microsoft PowerPoint 2002 for Windows
- Microsoft PowerPoint 98 for Macintosh
- Microsoft PowerPoint 2001 for Macintosh
なお,マイクロソフトがテストしたバージョンは,
- Office 98 for Macintosh
- Office 2001 for Macintosh
- Office 2000 for Windows
- Office 2002 for Windows
これら以外のバージョンについてはサポート対象外であるため,影響を受けるかどうかは不明であるという。
Office製品は,マクロを勝手に実行しないセキュリティ機能を備える。その設定([ツール]メニューの[マクロ]-[セキュリティ] )を「中」あるいは「高」(デフォルトは「中」)にしておけば,文書にマクロが含まれるかどうかを調べ,実行前にユーザーに警告する。ところが,今回のセキュリティ・ホールを突くような文書ファイルを作成すれば,このセキュリティ機能を回避してマクロを実行させることが可能になる。マイクロソフトのFAQによれば,そのような文書ファイルが偶然作成されることはないという。
英語版用パッチは公開されているものの,日本語版用については現在準備中である。そのため,疑わしい文書ファイルを開かないことが唯一の回避策である。問題のある文書ファイルを開かなければ,マクロが実行されることはない。
なお,今回のセキュリティ・ホールの影響を受けるのは Excel および PowerPoint だけで,他の Office 製品は影響を受けない。しかしながら,Microsoft Wordについても,同様のセキュリティ・ホールが発見されている。今回のセキュリティ・ホールを発見した米Symantecは,このセキュリティ・ホールについても,パッチを適用して対策することを強く勧めている。
◎参考資料
◆(MS01-050)不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する(マイクロソフト)
◆マイクロソフト セキュリティ情報(MS01-050) : よく寄せられる質問(マイクロソフト)
◆(MS01-034)不正な Word 文書が自動的にマクロを実行する(マイクロソフト)
◆Malformed Excel or PowerPoint Document Can Bypass Macro Security(米Microsoft)
◆Malformed Microsoft Excel or PowerPoint documents bypass Microsoft macro security features(米Symantec)
◆(CA-2001-28)Automatic Execution of Macros(米CERT/CC)
