Office への標的型攻撃が…


マイナビさんによると、CVE-2013-3906 として注意が呼びかけられている Office の脆弱性を悪用した標準型攻撃が、日本国内で確認されたのだそうです。

Officeの脆弱性を悪用した標的型攻撃を国内で確認 – IPAが注意呼びかけ
http://news.mynavi.jp/news/2013/11/20/416/index.html

マイクロソフト セキュリティ アドバイザリ (2896666)
http://technet.microsoft.com/ja-jp/security/advisory/2896666

日本語で届くメールの添付ファイルを解凍すると Word ファイルが含まれているそうなのですが、それを Office で開くと『PCがマルウェアに感染してしまう』のだそうです。

被害を受けないためには、怪しいファイルを安易に開かない、ということもありますが、この場合にはマイクロソフトが提供している Fix it ソリューションを適用することでも回避できるとのことです。

マイクロソフト セキュリティ アドバイザリ: マイクロソフトのグラフィックス コンポーネントの脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/2896666/ja

よかった、よかった、、、としたいところですが、コワーイ問題が 3 つあります。

1. Office のバージョン問題

マイクロソフト セキュリティ アドバイザリによると、景況を受けるのは Office 2003、2007 および 2010 で、Office 2013 は影響を受けないようです (Lync 2013 は影響を受けるみたいですが)。

マイクロソフト セキュリティ アドバイザリ: マイクロソフトのグラフィックス コンポーネントの脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/2896666/ja

今回はたまたま、、、ということはあるかもしれませんが、Office のバージョンが最新であればあるほど、標準型攻撃には強いと言えるかと。

2. Office 2003 問題

皆さんもご存知の通り、Office 2003 は 2014 年 4 月 9 日 (日本時間) でサポートが終了します、そうなると、今回提供されたような回避策は提供されなくなります。

Windows XP と Office 2003 のサポートがまもなく終了します
http://www.microsoft.com/ja-jp/windows/lifecycle/xp_eos.aspx

3. パッチ当たってない問題

いくら最新バージョンの Office を利用していても、製品ベンダーから都度提供されるパッチが適用されなければ、最新の標準型攻撃に対応できない可能性があります。

その点、クラウド版オフィスである Office 365 ProPlus であれば、管理者の負担を最小限に最新のパッチを適用することが可能です。

Office 365 の紹介
https://www.microsoft.com/ja-jp/office/2013/business/vp/user/office365.aspx

 

 

…ということで、最新の Office である Office 2013、更に Office 365 ProPlus の方がいいですよ、ということです。標準型攻撃は、中小企業の方々も含めて問題が起きうるものですので、お気を付けください。

Office 2003も来年4月にサポート終了、クラウドへの切り替えを急げ
http://itpro.nikkeibp.co.jp/article/Interview/20130823/499785/

広告