Microsoft OfficeにはMacromedia Flashファイルの処理方法に関する不具合があり、これを悪用したサイバー攻撃が発生する可能性があると専門家らが警鐘を鳴らしている。
Symantecは米国時間6月22日、Officeファイルに組み込まれたFlashファイルが、何の警告も発しないままコードを起動し、実行することを明らかにした。Office製品に関連するセキュリティ不具合が報告されるのは、ここ1週間のうちで今回が3度目。
同社はSymantec DeepSight Alert Servicesの利用顧客に対して発した警告のなかで「この不具合を悪用して、攻撃者は機密性の高い情報をユーザーのマシンから盗み出したり、悪質なコマンドを実行したりすることができる」と述べている。不具合は、研究者のDebasis Mohanty氏によって報告された。
Microsoftの関係者は、問題の原因はOfficeにおけるActiveXコントロールのロード方法にあるが、これは脆弱性ではないとしている。「同製品はこのような振る舞いをするように設計されており、設計自体が原因でユーザーが危険にさらされることはない」と同関係者は述べている。ActiveXコントロールとはウェブサイトにインタラクティブ性をもたせるために利用されるアプリケーション。
もっとも、Microsoftは攻撃者がこの機能を悪用すれば、Officeを介してActiveXコントロールをユーザーの気付かぬうちにシステムにロードすることも可能であることを認めている。同関係者によれば、同社では、これを悪用した攻撃について報告を受けていないという。
「Microsoftでは、公開されたレポートについて引き続き調査し、必要に応じてユーザーに追加のガイダンス情報を提供していく」と同関係者は述べた。最近のOfficeバージョンでは、「killbit」を設定することにより、ActiveXコントロールの動作を停止することができるとMicrosoftは述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」