『Excel』に未対応の脆弱性、既にゼロデイ攻撃も発生

米国土安全保障省のコンピュータセキュリティ対策機関 US-CERT が16日に公開したセキュリティ勧告によると、Microsoft の表計算ソフトウェア『Excel』に任意コード実行を許しかねない未対応の脆弱性が存在するという。

Microsoft は19日、同脆弱性に関するセキュリティ勧告を公開して当面の対処法を示したが、今のところ月例更新実施スケジュールに従って修正するのか、月例スケジュール外で修正するのか、明記していない。

同脆弱性を突く攻撃は、細工した Excel ファイルを開かせることで成立する。到達経路としては、Web サイトからのダウンロード、Eメールの添付ファイルなどが考えられる。また、別の形式の『Office』ファイルに細工した Excel 文書を埋め込んだ形でも、同脆弱性を悪用できる。

セキュリティ会社 Secunia は勧告の中で、同脆弱性の深刻度を5段階中最大とした。

同脆弱性を悪用するゼロデイ攻撃は既に存在しており、Symantec はトロイの木馬『Trojan.Mdropper.J』に関する情報を公開した。同社によると、Mdropper.J は Excel の未公表脆弱性を突くトロイの木馬で、別のトロイの木馬プログラム『Downloader.Booli.A』を感染システムに仕込むという。Booli.A は特定の Web サイトからプログラムをダウンロードして実行するものだ。なお Symantec による Mdropper.J の危険性評価が低いのは、Booli.A のダウンロードするプログラムが、確認段階で実質的な悪影響を与える機能を持っていなかったためと思われる。

Microsoft のセキュリティ対策組織 Microsoft Security Response Center (MSRC) の公式 Blog には、まず16日に同脆弱性について「影響を受けた顧客から1件の報告を受け取った」との投稿があった。週が明けて19日、Microsoft はセキュリティ勧告『921365』を公開し、対処法を示した。同セキュリティ勧告によれば、『Excel 2003』『Excel Viewer 2003』『Excel 2002』『Excel 2000』『Excel 2004 for Mac』『Excel v. X for Mac』が問題の脆弱性を持つという。また Microsoft は同日、無料の診断サービス『Windows Live Safety Center』で、問題の脆弱性を悪用するプログラムの検出と除去に対応した。

同じ Microsoft 製品の『Word』でも、よく似た形のゼロデイ攻撃が発生したが、同社は6月の月例更新でその脆弱性を修正している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール