トップページ サービスの概要 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティTIPS/

■Office 2000でWebページ上のOfficeファイルを開く際にダイアログを表示させるようにする方法
 ゼロデイ攻撃を含め、最近、Officeの脆弱性を悪用した攻撃が増えている。これまで報告されている攻撃の多くは、細工したOfficeファイルを電子メールに添付し、それを開くように誘導することで実行されるものである。しかしOfficeの脆弱性は、細工したOfficeファイルへのリンクをWebページ上に張り、それをユーザーにクリックさせるように誘導することでも悪用できる。

 Webページによる攻撃は、スパイウェアやトロイの木馬のインストールなどに悪用される危険性があり、注意が必要だ。とはいえ、掲示板やBlogなどに有益な情報のように見せかけて、攻撃を仕掛けるリンクが張られる可能性もある。こうした場合、いくら注意していても、ついうっかりとリンクをクリックしてしまい、攻撃が実行されてしまうかもしれない。

 特にInternet Explorer(IE)とOffice 2000を利用している場合、Officeファイルは警告ダイアログを表示せずに、IE内で開いてしまう。つまり、リンクをクリックしただけで、攻撃がすぐに実行される危険性があるわけだ。Office XPとOffice 2003の場合、警告ダイアログが表示されるため、ここで注意していれば、攻撃の実行を防ぐことができる。

 実はOffice 2000でも、マイクロソフトのダウンロード・センターで配布されている「Officeファイルを開くときに確認するツール(cnfupd.exe)」をインストールすることで、IE上でOfficeファイルが開く際に警告ダイアログを開くように設定を変更できる。cnfupd.exeは、ダウンロード・センターの説明には、Office 97向けとなっているが、Office 2000に対しても利用可能であり、有効である。

・ダウンロード・センター(Office ファイルを開くときに確認するツール):
http://www.microsoft.com/downloads/details.aspx?
displaylang=ja&FamilyID=8B5762D2-077F-4031-9EE6-C9538E9F2A2F&displaylang=ja

 Officeの脆弱性を悪用した攻撃が増えていることから、Office 2000を利用しているならば、cnfupd.exeをインストールし、警告ダイアログが表示されるようにしておくことをおすすめする。

 

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。