不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)

技術的な説明 :
Excel および PowerPoint にはマクロのセキュリティ フレームワークがあり、これによりマクロの実行を制御し、マクロが自動的に実行されることを防ぎます。このフレームワークは、ユーザーが文書を開く時に、その文書にマクロが存在しているかどうかをスキャンします。文書がマクロを含んでいる場合、ユーザーは通知を受け、セキュリティ設定に応じて、マクロを実行するか、または無効にするかを確認されます。マクロのセキュリティ機能で検知できないマクロを、悪意のあるユーザーが可能にできるために問題が発生します。

悪意のある攻撃者は、その文書が開かれると自動的に実行されるマクロ コードを含む Excel または PowerPoint 文書を綿密に作成することにより、この脆弱性を利用しようとする可能性があります。攻撃者は Web サイトやファイル共有に悪質なファイルをホストしたり、電子メールを介して悪質なファイルを送信することによりこの攻撃を行う可能性があります。

問題を緩和する要素 :

脆弱性識別番号 :
CAN-2001-0718

テストしたバージョン :
マイクロソフトは次の製品のすべてのコンポーネントのテストを行い、この脆弱性による影響を評価しました。それより前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。

どのようなことが起こる可能性がありますか?

この脆弱性を利用して、悪意のあるユーザーがマクロのセキュリティを無視する不正な Excel または PowerPoint ファイルを作成し、文書が開かれると自動的にマクロを実行する可能性があります。仕様により、マクロはユーザーが実行可能な操作を行うことができるため、この脆弱性を利用して、攻撃者はデータの変更や削除、Web サイトとの通信、マクロのセキュリティ設定の変更などを行う可能性があります。

これにより、ユーザーが通常実行することができない操作を行うことはできません。そしてユーザーの権限を制限するアクセス制御もまた攻撃者の悪質な文書の権限を制限します。さらに、攻撃を成功させるためには、ユーザーが悪質な文書を開く必要があります。最善のセキュリティ対策として、ユーザーは不明の、または信頼されないソースからの文書を開かないことを推奨します。

何が原因で起こりますか?

この脆弱性はマクロを検知するフレームワークが、マクロ プロセッサがマクロのコマンドを実行するインスタンスの全てを検知しないことがあるために起こります。有効な文書が意図的にマクロの存在をあいまいにするように作成されている場合、これらのマクロを実行することができます。

マクロとは何ですか?

マクロとは Excel および PowerPoint などのアプリケーション内の小さいプログラムです。マクロが実行される場合、マクロはアプリケーションやオペレーティング システムで、ユーザーのように操作を行うことができます。マクロが行う単純な操作の例として、文書内のテキストを見つけ、置き換えるという操作があります。さらに高度なマクロは文書での自動フォーマット、ローカル システムからネットワークへのファイルのコピー、電子メールによるレビュー コピーの送信などの機能を含むこともできます。

マクロは非常に小さいプログラムであるため、攻撃者が、ファイルの削除、不要なメッセージ、文書内のデータの変更などを行う悪質なマクロを作成する可能性があります。悪質なマクロの防止を支援するため、Excel および PowerPoint にはセキュリティ モデル (英語情報) があり、これによりマクロが警告なしで実行されることを防ぎます。

Excel および PowerPoint のマクロ保護の何が問題になっていますか?

悪意のあるユーザーがマクロ保護を無視し、マクロを自動的に実行できる不正な Excel または PowerPoint 文書を作成することができます。

このような文書は偶発的に作成されることはありますか?

いいえ、ありません。マクロ保護を無視する文書を偶発的に作成することはできません。このような文書を作成するためには、特定の詳細な知識が必要となり、悪意を持って特別に作成する必要があります。

この脆弱性を利用して攻撃者は何ができますか?

この脆弱性を利用して攻撃者は、ユーザーがその文書を開くと自動的に実行されるマクロ コードを含む悪質な文書を作成することができます。

悪質な文書はどのような操作ができますか?

マクロはユーザーに代わって操作を行うため、実行されるマクロ ウィルスはユーザー自身が実行できる操作を行うことができます。例えば、ファイルの変更や削除、外部の Web サイトへのデータ送信、ハード ドライブの再フォーマットなどです。

ここで重要な点はマクロ ウィルスはユーザーのセキュリティ設定を再設定することができるということです。マクロ ウィルスによる攻撃が成功すると、セキュリティ設定を無効にすることにより、システムが次回の攻撃を受けやすくなる可能性があります。

この脆弱性に対し、攻撃者はどのように攻撃を行うのですか?

攻撃者はいくつかのルートで攻撃を行うことができます。攻撃者が意図的に悪質な文書を Web サイトやインターネット上にホストする可能性があります。また、攻撃者が適切なアクセス権を持つファイル サーバーに悪質な文書を配置することができます。さらに、悪質なファイルのコピーを電子メールで送信することにより、攻撃者は特定の個人を標的にすることもできます。

重要な点は、すべての攻撃の試行は標的となるユーザーが文書を開くことを必要とするということです。ユーザーの操作なしで、この脆弱性を利用することはできません。既知の、または信頼されるソースからの文書のみを開くことは、この脆弱性の利用に対する防御となります。

更新プログラムは何を修正しますか?

この更新プログラムは、このような種類の文書内のマクロの存在を検知するコードを改善することにより、この脆弱性を排除します。

誰が更新プログラムを適用する必要がありますか?

影響を受けるソフトウェアのバージョンを実行しているシステムを使用、または管理しているユーザーはこの更新プログラムを適用する必要があります。

Excel 97 や PowerPoint 97 を使用している場合、この問題の影響を受けますか?

まず、Excel 97 および PowerPoint 97 には Excel 2000、Excel 2002、PowerPoint 2000および PowerPoint 2002 と同じマクロのセキュリティ フレームワークはありません。Excel 97 および PowerPoint 97 のマクロのセキュリティ フレームワークは Excel 2000、Excel 2002 および PowerPoint 2000、PowerPoint 2002 のマクロのセキュリティ フレームワークが持つ機能の多くを持っていません。この旧フレームワークでは、ユーザーがマクロの信頼性に関して、詳しい情報に基づいた判断を行うことは困難です。

この問題のため、マクロのセキュリティを懸念されるお客様は、より強固なマクロのセキュリティ モデルを持つサポート バージョンにアップグレードして下さい。

ほかの Office Suite メンバーはこの脆弱性の影響を受けますか?

いいえ、受けません。Office Suites for Windows および Office Suites for Macintosh のすべてのメンバーをテストしました。ほかの Office Suite の製品はこの脆弱性の影響を受けないという結果を得ました。

この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。

対象プラットフォーム :
これらの更新プログラムは Excel 2000 for Windows または PowerPoint 2000 for Windows の Service Release 1 (SR-1) または Service Pack 2 (SP2) を実行しているシステムおよび Excel 98 for Macintosh、Excel 2001 for Macintosh、PowerPoint 98 for Macintosh または PowerPoint 2001 for Macintosh を実行しているシステムにインストールすることができます。

今後リリースされるサービスパックに含まれる更新プログラム :
この問題に対する更新プログラムは Office XP Service Pack 1 に含まれています。

再起動の必要性 :
なし

更新プログラムに含まれる過去の修正 :
なし

更新プログラムのインストール確認方法 :

•	Microsoft Excel 2000 for Windows: excel.exe のバージョン番号が 9.0.0.5519 以降であることを確認して下さい。
•	Microsoft Excel 2002 for Windows: [ヘルプ] メニューの Excel 2002 の [バージョン情報] をクリックし、ダイアログ ボックスで表示されているバージョンが 10.3207.2625 以降であることを確認して下さい。
•	Microsoft PowerPoint 2000 for Windows: [ヘルプ] メニューの PowerPoint 2000 の [バージョン情報] をクリックし、ダイアログ ボックスで表示されているバージョンが 9.0.5519 以降であることを確認して下さい。
•	Microsoft PowerPoint 2002 for Windows: [ヘルプ] メニューの PowerPoint 2002 の [バージョン情報] をクリックし、ダイアログ ボックスで表示されているバージョンが 10.3207.2625 以降であることを確認して下さい。
•	Microsoft Excel 98 for Macintosh および PowerPoint 98 for Macintosh: Finder 内のファイルを選択し、ファイル メニューから [情報を見る] を選択し、表示されているバージョンが 9.0.1 (3618) 以降であることを確認して下さい。
•	Microsoft Excel 2001 for Macintosh および PowerPoint 2001 for Macintosh: Finder 内のファイルを選択し、ファイル メニューから [情報を見る] を選択し、表示されている記述が "2001 Security Update" 以降であることを確認して下さい。

警告 :
なし

他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

•	セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」のキーワード検索によって容易に見つけることができます。
•	Windows ユーザーの方におかれましては、コンシューマー プラットフォーム用の更新プログラムを Microsoft Update Web サイトからダウンロードできます。

更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Top of section