Microsoft Office Webコンポーネントの脆弱性に対応する

●「Office 2003/XP」のユーザーは特に注意

　マイクロソフトは13日、セキュリティアドバイザリ「973472」を発表した。このセキュリティアドバイザリは、「Microsoft Office Webコンポーネント」に未知の脆弱性が発見され、これを利用したゼロデイ攻撃が確認されたことから、脆弱性の回避策などを紹介しているものだ。

　マイクロソフトでは現在、この脆弱性に対応する修正パッチを開発しているが、公開されるまでの当面の回避策としては、Internet Explorer（IE）上でOffice Webコンポーネントが動作しないようにする方法を推奨している。また、その設定を簡単に行えるツールも公開している。

　今回、脆弱性が発見された「Office Webコンポーネント」とは、スプレッドシートやグラフ、データベースなどをIE上で扱えるようにするActiveXコントロールだ。Office 2003/XPをインストールした場合には、このOffice Webコンポーネントも標準でインストールされるので、今回の脆弱性については特に注意が必要だ。Office 2007の場合には、Office Webコンポーネントは標準ではインストールされず、オプション扱いとなっている。また、Office製品のユーザーでなくても、マイクロソフトのダウンロードセンターから無料でダウンロードできる。

　米TrendMicroによれば、今回発見された脆弱性の攻撃では、Webページにこの脆弱性を利用した不正なコードが貼り付けられ、ユーザーがこのページを閲覧することで不正なActiveXコンポーネントがPC内で実行され、情報を盗み出して外部に送信するトロイの木馬プログラムを実行させられてしまうという。

　その他のセキュリティサイトの情報などをまとめると、この悪意のプログラムが仕掛けられているのは中国のサイトが多く、盗み出すのはオンラインゲームのアカウントなどであるようだ。既にこのゼロデイ攻撃の技術的な内容や、悪用コードなども15日にはインターネット上に出回っている。また、コードの内容も40行程度の簡単なものであることから、このソースを利用して、他の用途、たとえばクレジットカードや個人情報を盗み出すような悪意のプログラムが作られる可能性は高い。

　マイクロソフトからは、今回の脆弱性を回避する方法として、IE上で問題のコンポーネントの動作を無効にするための「Fix it」が提供されている。下記のマイクロソフトのサイトにアクセスし、「回避策を有効にします」と書かれた欄にある「Fix it」のアイコンをクリックすると、設定用のプログラム（MicrosoftFixit50291.msi）がダウンロードできる。これを実行するだけで、回避策の設定は完了する。

　・Fix itの公開サイト
　http://support.microsoft.com/kb/973472

●「Fix it」は適用しても大丈夫？　その判断基準は

　さて、今回のようなセキュリティアドバイザリが公開された場合に、回避策を適用するための「Fix it」も合わせて公開されるケースが非常に増えてきた。

　Fix itは手軽に使えるものだが、これを安易に実行してしまって良いものかと不安になる方もいるかもしれない。

　結論から言えば、Fix itの適用にはそれほど大きな問題はないので、修正パッチが正式に公開されるまでの回避策としては適用をおすすめしたい。

　Fix itの公開ページには、「回避策を有効にする」ためのFix itとセットで、適用した回避策を元に戻すための「回避策を無効にする」Fix itも用意されている。Fix itを適用することで、PCに不具合が出る場合もあるが、その場合には無効にするFix itを実行すれば、設定を元に戻すことができる。このため、一度Fix itを適用してみて、何か影響が出るようであれば解除するという使い方で、ほぼ問題はないはずだ。

　なお、一般的にこうした回避策は何らかの機能制限を行うことにより、脆弱性を利用した攻撃の影響を受けないようにするものだ。そのため、影響の範囲は回避策によってケースバイケースだが、回避策を取ることで特定のアプリケーションや機能が動かなくなる可能性は常にある。

　Fix itによりどのようなアプリケーションや機能に影響が出るかは、セキュリティアドバイザリの「回避策」の欄に記載されているので、これを読んである程度判断できる。たとえば、今回の回避策を適用した場合には、以下のようなアプリケーションに影響があるとされている。

・社内のビジネスアプリケーション
・Microsoft Office Project Web Access
・Office 2003 アドイン：Web Parts and ComponentsなどのWebアプリケーション
・Microsoft OfficeのVBAソリューション

　したがって、業務に必要な社内アプリなどが実行できなくなった場合は、回避策を無効にする必要があるわけだ。

　なお、今回のFix itの場合は、ほぼすべてのユーザーに適用が可能で、ほぼ決定的な解決策であるため、セキュリティアドバイザリでは1つしか回避策が提示されていない。しかし、脆弱性の内容によっては回避策が複数用意される場合もある。