批判を浴びるMicrosoft Wordのパスワード保護機能

　Microsoft Wordに搭載された、無断編集を防ぐためのパスワード保護機能を利用する書類が、セキュリティ関連ウェブサイトで先ごろ公表された比較的単純なハッキングで、容易に改竄されてしまうかもしれない。

　「Password to Modify」というこのパスワード保護メカニズムは、「Hex Editor」という簡単なプログラミングツールがあれば迂回、無効化、あるいは削除ができてしまう。このハッキングは痕跡を残さないため、不正利用者がドキュメントからパスワード保護をはずし、オリジナルのパスワードを編集して入れ替えることができる。

　Microsoftには、ドイツのセキュリティ専門ベンダー、Infineon Technologiesの子会社であるGuardeonic SolutionsのCIO、Thorsten Delbrouckが、この脆弱性を11月の終わりに通知している。

　Microsoftは12月初めに公開したサポート技術情報で、このパスワード保護機能は「改竄やイタズラに対する絶対的な保護を提供することが目的ではなく、偶発的なドキュメントの変更を防ぐ機能に過ぎない」とし、問題の存在を否定した。

　同社サイトにあるテクニカルサポートのドキュメントには、「Password to Modify」機能を使うと、悪意を持ったユーザーがこの機能を迂回したとしても、この機能は当初意図された通りに動作する。この機能は、そもそも悪意のあるユーザーからドキュメントやファイルを保護する目的で設計されたものではない」と記されている。

　Microsoftでは、ドキュメントのセキュリティを保ちたいユーザーには「Password to Open」機能を使うよう奨めている。

　しかしDelbrouckは、この機能が企業に対して法的に深刻な影響を及ぼすとして、Microsoftの主張に疑問を呈している。同氏は、自社のハードウェアサプライヤーの1社であるDellが、保護されたWordドキュメントを使った見積もりを電子メールで送信してきたという。「Dellが送ってきた見積もりを自分がハッキングして内容を変更し、それに署名してファックスで返信したら、いったいどうなるだろう?」と同氏は述べている。

　「おそらく裁判になり、専門家たちがオリジナルのドキュメントを検討した後に、『このドキュメントは顧客には知り得ないパスワードで保護されている。保護は有効になっており、またこのドキュメントにはオリジナルのパスワードも付いたままなので、修正はされてはいない』と言うだろう」（Delbrouck）

　Delbrouckが、米国時間2日にこの問題を暴露したのを受け、Microsoftはサポート技術情報をアップデートし、「Password to Modify機能を利用していても、悪意のあるユーザーが設定されたパスワードを利用できてしまう場合がある」という警告を追加した。

　Delbrouckによると、この問題の解決策はないという。機密性の高い情報を送信する企業に対して、同氏はこの保護機能を使う代わりに、デジタル署名や、同氏がドイツのDellに奨めたAdobeのPDFなど、全く別のドキュメントフォーマットを使うべきだと述べている。

　Microsoft UKのOffice製品マーケティングマネジャー、David BennieがZDNet UKに語ったところでは、Wordのパスワード保護は同僚との共同作業には便利だが、セキュリティのための機能ではなく、そのような目的で信頼すべきでものではないという。

　「もしこれをセキュリティ機能として利用している場合、それは正しい使い方ではない」とBennie。同氏は、ドキュメントを安全に移動したい企業は、デジタル証明か、ドキュメントを「完全にロックできる」Adobe Acrobatなどのアプリケーションを使うべきだとの点に同意する。

　「安全な暗号化技術が必要なら、この機能は使うべきではない。パスワード保護を利用している顧客はかなり多いが、これを利用するのは一般ユーザーによるテキストなどの変更を阻止するためで、その目的で利用するにはぴったりの機能だ」（Bennie）

　しかしDelbrouckは、Microsoftがこの問題を解決できないため、それほど重大なものではないと見せかけようとしているとし、次のように反論した。

　「常に変化するファイルフォーマットで、前バージョンとの互換性を維持しなくてはならないため、同社にできる対策はほとんどないだろう。同社にとって唯一可能性のある解決策は、この問題がそれほど深刻なものでもないと見せかけることだ」（Delbrouck）