マイクロソフトは2009年2月25日、Microsoft Office Excelに新しい脆弱(ぜいじゃく)性が見つかったことを明らかにした。セキュリティ更新プログラム(修正パッチ)は未公開。細工が施されたExcel文書ファイルを開くだけで被害に遭う。実際、米シマンテックによると、この脆弱性を悪用するファイルが日本のユーザーから報告されているという。

 今回公表された脆弱性は、Excelのデータ処理に関するもの。特別な細工が施されたExcel文書ファイル(.xlsなど)を開くだけで、中に仕込まれたプログラム(ウイルスなど)を勝手に実行される恐れがある。

 影響を受けるのは、Excel 2000/2002/2003/2007、Office 2004 for Mac/Office 2008 for Mac、Excel Viewer 2003/Excel Viewer、Word/Excel/PowerPoint 2007ファイル形式用Microsoft Office互換機能パック。Mac版やビューアーも影響を受けるので要注意。

 マイクロソフトの情報によれば、この脆弱性を悪用した「限定的な標的型攻撃」を同社では確認しているという。修正パッチが未公開の脆弱性を突く攻撃なので、いわゆる「ゼロデイ攻撃」だ。

 シマンテックでも、今回の脆弱性を悪用しようとする攻撃を確認している。少数のユーザーから同社日本法人のエンジニアに対して、今回の脆弱性を突くExcelファイルが報告されたという(図)。

 Excelでこのファイルを開くと、ファイルに仕込まれたプログラムが脆弱性を突いて動き出し、2種類のファイルを生成し実行する。一つは、いわゆる「ダウンローダー」に分類されるウイルス。実行されると、特定のWebサイトから別のウイルスを次々とダウンロードして感染させる。その結果、感染パソコンがウイルス(攻撃者)に乗っ取られる恐れがある。

 生成されるもう一つのファイルは、無害のExcelファイル。前述のダウンローダーを実行するとともに、生成した無害のExcelファイルをExcelに読み込ませて開かせる。これにより、ユーザーの目をあざむこうとする。ユーザーには、悪質なExcelファイルをダブルクリックした結果、無害のExcelファイルが開いたように見える。

 マイクロソフトは今回の脆弱性を調査中。修正パッチは未公開。調査が完了次第、ユーザーを保護するために適切な措置(例えば、修正パッチの公開)を講じるとしている。

 修正パッチが適用されるまでの回避策は、信頼できないExcelファイルを開かないこと。知人などをかたって攻撃ファイルが送られてくる場合もあり得るので要注意。信頼できる相手から送られたファイルであっても、覚えがなかったり、少しでも不審な点があったりした場合には、安全であることが確認できるまでは開かないことが重要だ。

 また、攻撃ファイルの可能性があるExcelファイルは、拡張子がxlsなどのバイナリ形式(Excel 2003以前のファイル形式)に限られる。Open XML形式のファイルでは、今回の脆弱性を悪用できない。このため、バイナリ形式のExcelファイルをOpen XML形式に変換するツール「MOICE(Microsoft Office Isolated Conversion Environment)」を使えばリスクを軽減できる。MOICEはOffice 2003と2007 Office system(Excel 2003/2007)に対応。MOICEの詳細については、同社サイトを参照してほしい。

 Microsoft Officeのファイルブロック機能を使用することも回避策として有効。同機能を使えば、未知あるいは信頼されない相手から送られたバイナリ形式のExcelファイルを開かないようにできる。使用方法については、マイクロソフトの情報に詳しい。