Microsoft、『PowerPoint』の未対応脆弱性について勧告を発表

Microsoft のプレゼンテーション ソフトウェア『Microsoft Office PowerPoint』の旧版ユーザーにとって、アップグレードを検討する新たな理由が出てきたといえるかもしれない。

Microsoft は2日午後遅く、PowerPoint に存在する未対応脆弱性を介した活発な攻撃が「発生しつつある」との報告があったとして、『Windows』版と『Mac OS』版のユーザーに対して警告するセキュリティ勧告を公開した。

該当の脆弱性は、『Microsoft Office PowerPoint 2000 Service Pack 3 (SP3)』『同 2002 SP3』『同 2003 SP3』(以上 Windows 版) と、『Microsoft Office 2004 for Mac』に影響する。

なお同勧告によれば、『Microsoft Office PowerPoint 2007』『同 SP1』『Microsoft Office PowerPoint Viewer 2003』『同 2007』『Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック』『同 SP1』、そして『Microsoft Office 2008 for Mac』と『Open XML File Format Converter for Mac』には影響しないという。さらに別の版にも影響が及び得るのか否かは明らかになっていない。同社がサポートするのは最新のサービスパックのみで、影響する版でいうと SP3 のみとなる。

ゼロデイ攻撃がまたもや発生したわけだが、Microsoft の関係者は、今回の攻撃による影響について今のところ最小限にとどまるとしている。ゼロデイ攻撃とは、製品ベンダーが対応する前の脆弱性を突くことからそのように呼ぶ。

同勧告は次のように述べている。「われわれは現時点で、同脆弱性の悪用を意図した攻撃について、限定的かつ対象を絞ったものしか確認していない」

今回のゼロデイ攻撃がまだ拡大していない理由の1つとしては、攻撃を成立させる上で、細工を施した PowerPoint ファイルを開くよう、攻撃相手を誘導しなければならない点にあるのかもしれない。

とはいえ、該当する製品のユーザーにとって、これは決して愉快なことではない。攻撃が成立すれば、パソコンが完全に乗っ取られてしまうからだ。

Microsoft はセキュリティ勧告のなかで、影響を受ける版の PowerPoint を利用するユーザーに対し、信頼できない発信元から受け取ったり、普段とは違うと思われる PowerPoint ファイル (PPT ファイル) を開かないように警告している。

さらに同社は、影響を受けるユーザーに対し、『Microsoft Office Isolated Conversion Environment』(MOICE) のインストールも推奨している。MOICE は、この攻撃に対する追加的な防御手段になり得るという。

今のところ Microsoft は、同脆弱性にどう対処するのか決定していない。同社は修正パッチが必要と判断した場合、通常は毎月第2火曜日の月例更新時に対応するが、より緊急性が高い問題になると、月例更新のスケジュール外でも単独の修正パッチを公開する。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール