Excelにまたパッチ未公開の脆弱性--悪用コードも公開に

　Excelで新たに見つかったセキュリティホールを悪用するコードがインターネットに出現した。折しもMicrosoftでは同表計算プログラムの別のバグを修正する作業が行われているところだった。

　Symantecが米国時間6月19日付けで顧客に送信したアラートメールによると、悪質なファイルを開くとExcelがクラッシュする可能性のある脆弱性が見つかったという。またSymantecは、攻撃者が同脆弱性を悪用して、遠隔地からPCを操作することも可能だと述べている。「攻撃者は任意のコードを実行出来る可能性もある・・・しかし、この点についてはまだ確認できていない」（Symantec）

　この脆弱性は、Excelがユーザーの入力をコピーする際にメモリのバッファ不足を正確にチェックできないことによるものだとSymantecは述べる。Microsoft Office Excel 2003とMicrosoft Office Excel XPが同脆弱性の影響を受けることが確認されているが、ほかにも問題の存在するバージョンがあるかもしれないと、Symantecは言う。

　セキュリティ監視会社のSecuniaは20日に警告を発し、この問題を、同社の評価体系のなかで2番目に深刻なレベルである「非常に重大（Highly critical)」に指定している。

　この脆弱性を悪用するサンプルコードはネットで公開されている。しかし、Secuniaによればこのセキュリティホールを使った攻撃は今のところ確認されていないという。

　Microsoftの広報担当は声明を出し、この問題について調査中であると述べた。「調査の結果、Microsoft Windowsに見つかったこの脆弱性は、Officeファイル内のハイパーリンクをユーザーにクリックさせる形で悪用される可能性があることがわかった」と声明には記載されている。Microsoftではこの脆弱性を悪用した攻撃について、まだ報告を受けていないという。

　今回見つかったExcelの脆弱性は、Microsoftが同表計算ソフトの未対応の脆弱性に対処しようと作業している最中に発覚した。Microsoftによると、先週明らかになった脆弱性は、攻撃者によるマシンの完全なコントロールを可能にするもので、実際に少なくとも1回は攻撃が起きているという。

　どちらの脆弱性も、攻撃者が悪質なExcelファイルを作成しウェブサイトで公開するか、電子メールで送信するなどして、標的に渡すことで悪用される。攻撃を成功させるには、ユーザーにファイルを開かせる必要がある。

　またどちらの脆弱性も、Microsoftが6月のセキュリティアップデートを公開した後に見つかっている。Microsoftは先週、Officeを含むMicrosoft製品が抱えていた21件の脆弱性に対処するセキュリティ情報を12件公開した。同社はこれらのExcel脆弱性のうち、最初に見つかった方についてはパッチを準備中であることを明かしている。

　一部の専門家は、エクスプロイトコードがこのタイミングに登場したのは偶然ではないと考える。このタイミングに公開することで、攻撃者たちはパッチ登場までの時間を1カ月稼げるからだ。一般的に、Microsoftはこのような脆弱性に対しては月例パッチ以外のタイミングでパッチをリリースしないと、専門家らは述べている。

　Microsoftは19日、先週明らかになったExcelの脆弱性について、その対処方法を公開した。Apple ComputerのMac OS用も含め、Excelの全バージョンが同脆弱性の影響を受ける。Microsoftでは、Excelのファイルを開くときは細心の注意を払うように促している。また、電子メールゲートウェイでExcelに関するすべてのファイルの種類をブロックしたり、Excel文書を、Outlook (添付ファイルとして)、Web サイト、ファイル システムから直接開くことができないようにするためにPCの設定を変更したりすることを推奨している。

　さらにMicrosoftは、Microsoft Office Excel 2003については、Resiliencyレジストリキーのアクセス制御リスト (ACL) を変更することにより、Excel が回復モードで動作することを防止するよう勧めている。

　Excel 2003に関してはWindowsのレジストリ設定を変更し、アプリケーションを「リペアモード」で実行できなくするよう勧めている。Microsoftはこの脆弱性について、Excelが回復モードで動作する場合に悪用されるとしている。