マイクロソフト、Office 2003/2007のセキュリティを強化へ
Office 2010に搭載の不正ファイル検知機能を2011年第1四半期に移植Microsoftは12月14日、「Office 2010」が備えるセキュリティ機能の一部を、「Office 2003」および「Office 2007」にも移植すると発表した。Office 2010の発売から約半年が経過したが、Office 2003、2007ともいまだに広く利用されている。
Office 2003/2007に移植されることになったのは、「Office File Validation(OVE)」と呼ばれる機能。これは、「Word」や「Excel」、「PowerPoint」などで古い形式(XML化される以前のバイナリ形式)の文書ファイルを開く際に、そのファイル形式を認識するというもので、攻撃コードを含む不正なファイルなどフォーマットと不一致のファイルに関しては、隔離された“サンドボックス”内で開く。
サンドボックス内で開かれた文書ファイルは、ドキュメントの内容は閲覧できる(Protected View)が、そこにマルウェアが潜んでいたとしてもほかのファイルやデータへのアクセスは禁止されており、システムへのアクセスも最小限に抑えられているため安全である。
OVEは、2010年6月にリリースされたOffice 2010の初期ビルドに初めて搭載された機能だ。Microsoftが14日に発表した内容によれば、このOVEの一部を2011年第1四半期にOffice 2003およびOffice 2007へ移植する予定だという。
Microsoft Security Response Center(MSRC)のグループ・マネージャーを務めるジェリー・ブライアント(Jerry Bryant)氏は14日、Computerworld米国版に対し、「Office 2003/2007においてオプショナル・アップデートという位置づけにはなるが、ユーザーにはOVEのダウンロードを強く推奨するつもりだ」と語った。
Office 2010と同様、Office 2003および2007でも、Office 97-2003バイナリ・ファイル・フォーマットで保存されたWord、Excel、PowerPoint、PublisherドキュメントをOVEが解析してくれる(MicrosoftはOffice 2007の発売時から、標準の文書フォーマットをXMLベースのOOXML:Office Open XMLへと変更した)。
ただし、Office 2003/2007にはサンドボックス機能が備わっていない。そのため、サンドボックス内で不審なファイルを開く代わりに警告メッセージを表示して、当該ドキュメントが危険なものかもしれないことを通知する。
Microsoftは過去4年間のデータを分析した結果を受け、OVEをOffice 2003/2007に移植することを決めたという。同社の試算によると、Office各バージョンにOVEが搭載されていれば、Officeに関わるすべてのセキュリティ・インシデントのうち、8割以上を防ぐことができていただろうという。
(Gregg Keizer/Computerworld米国版)
