Microsoft Word 98 for Macintosh セキュリティ アップデート : マクロの脆弱性

Word for Macintosh セキュリティ アップデート : マクロの脆弱性は、リッチ テキスト形式 (RTF) 文書内の有害なコードが警告なしで実行される脆弱性に対応するものです。通常の環境下で Word 98 を使用している場合、マクロを含むテンプレートに添付されている文書を開くと警告が表示されます。しかし、マクロを含むテンプレートにリンクした RTF 文書では、警告なしでマクロが実行されてしまうことがあります。これによってデータが損傷したり、または Web サイトに接続したり電子メールメッセージを開いたときにシステムから無許可でデータが取得されたりします。
このセキュリティアップデートは、セキュリティ警告なしでマクロが実行されることを防ぎます。アップデートをインストール後、テンプレートまたはマクロを含む RTF 文書を開こうとする際に警告が表示されます。テンプレート、マクロを含むテンプレート、またはマクロを含むリッチ テキスト形式 (RTF) 文書は引き続きご使用いただけます。

対象製品 : Microsoft Office 98 Macintosh Edition、Microsoft Word 98 Macintosh Edition

注意：
・この脆弱性は、Microsoft Word 98 Macintosh Edition に影響を及ぼします。
・この脆弱性は Word だけに影響を及ぼします。他の Office 製品は影響を受けません。
・この脆弱性は Word 文書が開かれる場合には発生しません。テンプレートにリンクしている RTF 文書が開かれる場合のみ発生します。

必要システム

Microsoft Word 98 for Macintosh セキュリティ アップデート : マクロの脆弱性をインストールするには、まず ダウンロード ページから Microsoft Office 98 アップデータ 2 をダウンロードして実行する必要があります。最新のアップデータを使用しているかどうかわからない場合は、以下の方法で Microsoft Office 98 ライブラリのバージョン番号を確認してください。
また、この更新プログラムをインストールするには、以下のシステム要件を満たしている必要があります。

オペレーティングシステム : 日本語版 Mac OS 8.1 〜 9.x

注意 : お使いのコンピュータの情報を確認するには、Mac OS 8.x または 9.x に含まれる Apple System Profiler を用いてシステム構成に関する情報を得ることができます。Apple System Profiler を起動するには、アップル メニューの [Apple システム・プロフィール] をクリックし、[システム特性] タブをクリックします。

Office のバージョン番号を調べるには：
1. [Microsoft Office 98] フォルダ内にある [Office] フォルダを開き、Microsoft Office 98 ライブラリ (ファイル名 Microsoft Office 98) を選択します。
2. [ファイル] メニューの [情報を見る] をポイントし、[一般情報] をクリックします。
3. Microsoft Office 98 ライブラリのバージョン番号が 8.0 (6318) 以降の場合は、既に Office 98 アップデータ 2 を適用済みであり、このセキュリティアップデータを適用することができます。このバージョン番号が 8.0 (5517 もしくは 5802) の場合は、このセキュリティアップデータを使用する前に Office 98 アップデータ 2 を実行する必要があります。

インストール方法

この更新プログラムをインストールする前に：
・ Office アプリケーション、Microsoft Messenger、ウイルス対策ソフトウェアなど、稼働中のすべてのアプリケーションを終了し、インストールが中断されないようにしてください。
・最新の Office 98 の更新プログラムが適用済みであることを確認します。

Mac OS X を実行している場合は、[システム環境設定] の [起動ディスク] を使用して Mac OS 9.x (従来の Mac OS) に切り替え、Macintosh を再起動してください。

インストール方法：
1. 本ページをリファレンスとして利用される方は、本ページを印刷してください。
2. ご使用中のマッキントッシュが、必要システムを満たしていることをご確認ください。
3. 右上「Quick Download」より、ダウンロードするファイル形式の [日本語版] をクリックします。
4. 画面の指示に従い、ファイルをハードディスク上に保存します。
Internet Explorer をご利用の場合、[初期設定] - [ダウンロード オプション] で保存先を変更しない限り、ダウンロードしたファイルはデスクトップに保存されます。
5. ステップ 4 でダウンロードしたファイルを、ダブルクリックして解凍します。ご利用の Web ブラウザによっては、自動的に解凍が行われます。その際はこのステップはスキップしてください。
6. 画面に表示される指示に従って、インストールを完了させてください

アンインストール方法：
本更新プログラムには、アンインストールの機能はありません。Office 98 を更新する前の状態に戻したい場合は、プログラムをハードディスクから削除し、Office 98 の CD-ROM からインストールし直してください。

よくある質問：

・どのようなことが起こる可能性がありますか ?
この脆弱性により攻撃者は、Word 文書が開かれる際にユーザーの承諾を得ないでマクロを実行することができます。マクロはユーザーが実行できる操作の全てを実行することができ、この脆弱性によって攻撃者は、データの改ざん、Web サイトとの通信、ハードディスクの再フォーマット、Word セキュリティ設定の変更等の操作ができる可能性があります。 この脆弱性は Word だけに影響を及ぼします。他の Office 製品は影響を受けません。また、影響があるのはリッチ テキスト形式の文書が開かれた場合のみです。この脆弱性は Word 文書を開く際には発生しません。

・何が原因で起こりますか ?
この脆弱性は、Word テンプレートにリンクしているリッチ テキスト形式の文書を開く際に、Word がテンプレートに組み込まれているマクロのチェックをしないために発生します。Word がテンプレートにリンクしている RTF ファイルを開く際、リッチ テキスト形式の文書だけにマクロ チェックをします。マクロを含んでいる可能性のあるテンプレートはチェックされません。

・修正プログラムは何を修正しますか ?
この修正プログラムは Word テンプレートにリンクする RTF ファイルが開かれる時でも、正しいマクロ チェックが行われるようにしてこの脆弱性を排除します。

・リッチ テキスト形式とは何ですか ?
リッチ テキスト形式 (RTF) は、書式付きテキストとグラフィックスをエンコードするための仕様です。RTF の主な利点は、様々な異なるプラットフォーム上で様々なワードプロセッサにサポートされているという点です。例えば、A という人物が Word を使って RTF ファイルを作成する場合、全く異なるワード プロセッサを使用している B という人物とそれらのファイルを共有することができます。
Word では、RTF 文書を開き、処理することができます。Word 文書は、必要に応じて RTF 形式で保存することができます。しかし、Word がこのようなファイルを開く方法にセキュリティ上の脆弱性が発生し、これにより、ユーザーの承諾なしにマクロが実行される可能性があります。

・マクロとは何ですか ?
一般的には、マクロという用語は、オペレーティング システムやアプリケーション内で通常行われるタスクを自動化する小さなプログラムのことを示します。例えば、全ての Office ファミリー製品でマクロの使用がサポートされています。マクロにより、例えば社内で Word、Excel や PowerPoint を使って、それぞれのニーズに合った、生産性の高いツールを実行するマクロを開発することができます。しかし他のコンピュータプログラムと同様に、マクロは悪用される恐れがあります。特に、Office 製品は広く使用されているため、多くのウィルスは、マクロの形で作成され、Office 文書内に組み込まれています。この問題に対処するために、Office 製品では、独自のセキュリティ モデルが開発され、マクロが、ユーザーの必要な場合にのみ実行されるように設計されています。しかし、この場合、このセキュリティ モデルに問題があり、マクロを含むテンプレートにリンクされている RTF 文書を開く際にこの問題が発生します。

・テンプレートとは何ですか ?
テンプレートは、文書の骨組みであると考えることができます。例えば研究論文のテンプレートは、あらかじめ作られたヘッダーとフッター、また必要な常用文を含む必要なスタイルが設定されています。ユーザーが新しい研究論文を作成する必要がある場合、実際に書く論文の形式としてこのテンプレートを使用することができます。
テンプレートには、他の文書の場合と同様に、マクロを含むことができます。テンプレートを使用した文書を開くのに Word が使用される場合、文書とテンプレートにマクロがあるかをチェックする必要があります。この脆弱性は、このチェックが正しく行われないために発生します。

・これにより攻撃者は何ができますか ?
この脆弱性を利用して、攻撃者は通常の Word のセキュリティ モデルをかいくぐることができます。つまり、攻撃者がテンプレートの RTF ファイルに基づいてマクロを含むテンプレートを作成し、他のユーザーにその RTF ファイルを開くように誘導した場合、テンプレートのマクロはユーザーの許可なしでマクロを実行します。

・マクロは何ができますか ?
マクロはユーザーが自分のマシンで可能な任意の操作を行うことができます。例えば、ファイルの追加、変更、削除、Web サイトとの通信などです。
また、マクロはユーザーのセキュリティ設定も変更することができます。これにはマクロの保護を無効にすることも含まれます。このため、ユーザーがこの脆弱性による攻撃を受けた場合、影響の 1 つとして、ユーザーのセキュリティ設定が弱まり、通常 Word によって実行が防御できる他のマクロが実行されます。

・攻撃者はどのようにして文書を他のユーザーに渡すのですか ?
様々な方法があります。まず、攻撃者は文書を Web サイトにホストすることができます。または十分なアクセス権がある場合、その文書を共有に保存することができます。また、文書を電子メールで送信したり、フロッピーディスクに保存して渡すなどの方法でユーザーを狙う可能性があります。

・攻撃者が RTF ファイルを他のユーザーに送信する場合、そのファイルとともにテンプレートも送信する必要がありますか ?
必ずしも、その必要はありません。RTF と Word ファイルは関連するテンプレートと一緒である必要はありません。しかし、テンプレートを離れた場所に格納し、文書を Web (HTTP) 接続を介してテンプレートにリンクすることができます。したがって、攻撃者は自分の Web サイトにあるテンプレートにリンクした RTF ファイルを作成し、RTF ファイルとテンプレートの両方をユーザーに送信する必要を省くことができます。

・ユーザーが RTF ファイルを開き、Word ファイルとして保存したとします。別のユーザーが後でその Word ファイルを開いた場合、この脆弱性を利用することはできますか ?
いいえ、できません。Word 文書がテンプレートにリンクしている場合でも、その Word ファイルが開かれる時に、セキュリティ設定は正しく動作します。

・この脆弱性はWord 以外の Office 製品にも影響を及ぼしますか ?
Word だけが RTF ファイルを開くことができる Office 製品です。したがってこの脆弱性を受ける Office 製品は Word だけです。

追記情報
さらに詳しい技術情報が必要な場合は、サポート情報をご利用下さい。