Excelに新たな脆弱性、早くも攻撃に悪用

　「Microsoft Excel」にパッチ未対応の新しいセキュリティ上の脆弱性があり、少なくとも1件のサイバー攻撃で悪用されたことを専門家が米国時間6月16日に警告した。

　Microsoftは自社のSecurity Response Centerブログに、悪質な行為を働くExcelドキュメントは、電子メールの添付ファイルの形、もしくは攻撃者が対象にする被害者に直接届ける形で侵入して来ると書き込んでいる。同社によると、このような問題に遭遇したとの報告が顧客から1件あったという。

　「悪質なExcelドキュメントを開くことで、攻撃を受けることになる。したがって、相手がだれであろうと、一方的に送られてくる不要な添付ファイルの開封には慎重になるように」とMicrosoft関係者は書いている。

　Symantecの勧告によると、「okN.xls」と呼ばれる悪質なExcelファイルのサンプルが見つかっているという。同社によると、この悪質なスプレッドシートファイルには「Mdropper.J」と呼ばれるトロイの木馬と、感染したPCに対してさらに悪質なファイルをダウンロードする「Booli.A」と呼ばれるプログラムが仕込まれているという。

　Symantecは、「攻撃者たちは、この脆弱性を積極的に悪用し、狙いを定めて攻撃を仕掛けている」と述べている。この問題は、Excel 2003とExcel 2000も含む全バージョンのExcelに影響があるようだ。攻撃に成功すると、侵入者は狙ったコンピュータを完全に制御下においてしまうと、同社は語っている。

　Microsoftは、12件のセキュリティ情報とともに、「Office」をはじめとする複数の製品にある21件の脆弱性に対するパッチをリリースしている。しかし、そのわずか数日後に、今回の攻撃や新しい脆弱性登場の話が出てきている。一部の専門家は、新しい攻撃がこのタイミングで発生したのは偶然ではないと考えている。

　Secure ElementsのSecurity LabsディレクターScott Carpenter氏は声明のなかで、「最近の同様の攻撃に対し、Microsoftは通常スケジュール以外にパッチを出してこなかった。『月例パッチ』公開直後にエクスプロイトコードがリリースされるということは、Microsoftが予定通りにパッチを出すまでのまる1カ月を活用しようという証拠だ」と述べた。

　さらに、Microsoftが13日にリリースした月例パッチには、サイバー攻撃に既に使われてしまったWordの脆弱性に対処するパッチも含まれていた。Microsoftはスケジュール以外のパッチを出す代わりに、Wordドキュメントを慎重に開くこと、そして同アプリケーションをセーフモードで実行することをユーザーに推奨していた。

　Microsoftは、新たに見つかったExcelの脆弱性に対処するパッチのリリース計画について、その有無を明らかにしていない。同社は、脆弱性の悪用を試みる悪質なソフトウェアを削除する検知機能を「Windows Live Safety Center」に追加したという。