reasoning.org presents

hash's Security Alert

hash's Security Note

reasoning.org presents
CERT文書
和訳版

最近版

全CERT勧告

Tech Tips

CERT/CC presents

Advisories

Tech Tips

Incident Notes

Summaries

CERT CA-2001-28

この文書はCERT Advisory文書の和訳である。和訳については一切の保証はしない。この文書を使った結果のあらゆる損害等について訳者は一切責を負わない。また、転載は禁じる。
この和訳は文書の性質上、in rushであり、訳の自然さよりも訳出の迅速さを目指している。内容の正確さについては訳者としての良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の性質上、ネットワーク管理者等であるため、この読者層に通じやすい訳語選定を心がけている。
この和訳はあくまでも訳者の個人的な関心に基づいて行われている。今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さがどこまでできるかが訳者の関心である)が、予告なく遅延、終了することがある。
本文書の和訳について、CERTから翻訳許諾は受けていない。が、こちらの申請に対して拒絶の返事も受けていない。CERT文書は周知のために再配布するといった行為を許可している。これが翻訳にもそのまま翻訳にも適用されるとは考えられない(翻訳は内容の変更を伴うため)が、その本来の精神には合致するものと考え、この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容についての責任は最初に書いたように負わない。
訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
関連文書はここにリストがある。

CERT^® Advisory CA-2001-28
(Excel, Powerpointでの)マクロの自動実行

Original release date: October 08, 2001
Last revised: Mon Oct 15 09:32:36 EDT 2001
Source: CERT/CC

本文書の原文は http://www.cert.org/advisories/CA-2001-28.htmlである。

本文書(原文)の完全な更新履歴は本文書末尾にある。

影響のあるシステム

次のどれかを動作させているシステム:

Windows
- Microsoft Excel 2000
- Microsoft Excel 2002
- Microsoft PowerPoint 2000
- Microsoft PowerPoint 2002
Macintosh
- Microsoft Excel 98
- Microsoft Excel 2001
- Microsoft PowerPoint 98
- Microsoft PowerPoint 2001

Microsoftによると、上記のバージョン以前のExcelならびにPowerPoint (またオフィススイート内のその他の製品)は影響を受けるかもしれないが、hotfixサポートの対象外である。 [例えば、Symantec は http://securityresponse.symantec.com/avcenter/security/Content/2001.10.04.htmlで、 Microsoft Excel 97並びにMicrosoft Powerpoint97は脆弱であると書いている] Microsoft Excel 97並びにMicrosoft Powerpoint 97はhotfixサポートの対象外であるため、これら製品は脆弱かもしれないが、hotfixは用意されない。hotfixの提供状態についての情報は、Microsoft Product Support Servicesウェブページを参照せよ。一般論として、Microsoftは hotfixサポート対象外のソフトウェアは脆弱性について検証しておらず、そうしたソフトウェアで見つかるかもしれない脆弱性に対処する修正パッチは提供しない。

Microsoft Security Bulletin MS01-050からの引用

It's important to understand that Excel and PowerPoint 97 do not have the same macro security framework as Excel and PowerPoint 2000 and 2002. The Excel and PowerPoint 97 macro security framework lacks many key features that the 2000 and 2002 macro security framework has, including a digital signature trust model that allows trusted, signed macros to be differentiated from untrusted, unsigned macros. Under this older framework, it is difficult for a user to make an informed decision regarding the trustworthiness of macros. In addition, as noted under "Tested Versions", Excel and PowerPoint 97 are no longer supported products. Because of these two issues, customers who are concerned about macro security are urged to upgrade to a support version with a more robust macro security model.

[訳者追補] 上記はMicrosoftの公式文書であるため、訳者は和訳を行なわない。この部分に該当する日本語文章は以下にある。

http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_secfaq.asp?sec_cd=ms01-050の「Excel 97 や PowerPoint 97 を使用している場合、この問題の影響を受けますか?」の項目

概要

侵入者は、Microsoft ExcelまたはPowerPointの文書に特別に偽造したマクロを埋め込める。このマクロはユーザの指定したセキュリティ上の設定がどうあれ、検知されず自動実行されてしまう。

I. 説明

Microsoft ExcelとMicrosoft PowerPointは文書ファイルを開く際スキャンを行い、マクロがあるかチェックする。文書にマクロが含まれている場合、 ExcelまたはPowerPointを使っているユーザには警告ダイアログボックスが表示され、このマクロを実行してよいか尋ねてくるようになっている。しかし、Microsoft ExcelとPowerPointは不正に作られたマクロを検知できないことがあり、このため、ユーザはExcelまたはPowerPointの文書を開く際、悪意あるコードを含むマクロを知らないうちに実行してしまうことがある。

脆弱なバージョンのExcelまたはPowerPointを使って被害者となるユーザに文書を開くようそそのかしたりだましたりできる侵入者は被害者にやれるいかなる行為もできるようになる。この行為の中には、これですべてではないが、次のようなものがある。

ローカルまたはオープンなファイル共有上でデータを読んだり削除したり改竄したりすること
セキュリティ設定を改竄すること(マクロウィルスに対する保護設定も含まれる)
電子メールを送ること
ウェブサイトにデータを送信したり、ウェブサイトからデータを取得したりすること

詳しくは次を参照されたい

http://securityresponse.symantec.com/avcenter/security/Content/2001.10.04.html

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-050.asp

MS01-050の日本語版

この脆弱性は広く悪用される可能性が高いため、修正パッチを可能な限り早く適用することを強く推奨する。というのは、例えば、1999年3月に流行したMelissaウィルスはソーシャルエンジニアリングを使って、被害者にMicrosoft Word文書に埋め込まれたマクロを実行させようと仕向けていたからである。詳しくは次のCERT/CC勧告を参照されたい。

http://www.cert.org/advisories/CA-1999-04.html

[訳注]セキュリティ関係の書籍等を一冊でも読めば、「ソーシャルエンジニアリング」が何かは理解できているであろうが、簡潔には「人間の心理的な側面での錯覚や思い込み、不注意を悪用すること」である。例えば、パスワード入力時に肩越しから見てパスワード奪取をはかるといったことが典型的な例としてよく引き合いに出される。しかし、現代的には、それ以上に「いかにも読もう/実行しようと思わせるようなタイトル/本文/添付ファイル名にすることで、不正な添付ファイルを実行させようとする」というのが一番危険なものだと言えるだろう。また、本文書の後でも書かれているが、メールのFrom行は何の苦もなく偽造できる。このため、送ってきた相手が誰であるか、というだけではメール/添付物の正当性は保証されない。W32/SircamがWindowsのアドレス帳に登録されたアドレスに、自身を混入させたMy Documents中の任意のファイルを添付して送信する、というのもソーシャルエンジニアリングの一例である。

一般的に見て、トロイの木馬やその他の悪意あるコードは いかなるプラットフォームにも損害を与え得るということをすべての人が認識しておくべきである。詳しくは次の文書を見よ。

http://www.cert.org/advisories/CA-1999-02.html

この脆弱性にはCommon Vulnerabilities and Exposures (CVE)グループが識別番号 CAN-2001-0718をつけている。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0718

II. 影響

攻撃者は、ExcelまたはPowerPointを動作させている被害者に付与された権限で、ターゲットとなるシステム上、任意のコードを実行できてしまう。

III. 解決策

修正パッチを適用せよ

Appendix Aには、この勧告に対して情報を提供してくれたベンダからの情報をまとめている。さらに情報を受け取るごとにこのAppendix を更新していく予定である。特定のベンダ名が見当たらなければ、それはCERT/CC がそのベンダからは連絡を受けていないということであり、直接そのベンダに連絡を取られたい。

修正パッチを適用するまでは、また一般的な習慣としても、メールに添付されたファイルを開く際は十分注意することを推奨する。しかし、注意しておかねばならないのは、電子メールの"From"行をチェックしたところで、その文書が適切なところから来たことを確認できるわけではない、ということである。

[訳者追記]Microsoft Office 95, 97を利用しているユーザはこの問題に確実に対処するためには現時点ではMicrosoft Office XP 等にバージョンアップした上で、修正パッチを適用する、ということになる。特に現在もMicrosoft Office 97 Powered by Word 98 を利用しているユーザは相当数いると考えられるが、この場合、他の点でもセキュリティ上の潜在的な問題が修正されないまま残っている可能性があることを認識されたい。

Appendix A. - ベンダ情報

このAppendixでは、本勧告に対してベンダから提供された情報をまとめている。ベンダが新たな情報をCERT/CCに報告すれば、このセクションを更新し、更新履歴にその旨表示する。特定のベンダが掲載されていない場合、それはそのベンダからのコメントをCERT/CCは受け取っていないことを意味する。

Microsoft Corporation

Microsoft Security Bulletin MS01-050を参照せよ。

[訳注]この文書の日本語版は10/9現在、まだ発行されておらず、このため修正パッチもまだ入手できない。

Appendix B. - 参照文献

CERT Coordination Centerは、この脆弱性を発見し、で情報を公開してくれたことについて、Peter Ferrie と Symantec Security Responseに感謝する。また、この問題についてMS01-050を発行したMicrosoft Corporationにも感謝する。

著者: Ian A. Finlay and Shawn V. Hernan.

本和訳の原文は以下で入手できる。
http://www.cert.org/advisories/CA-2001-28.html

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

http://www.cert.org/CERT_PGP.key

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

http://www.cert.org/

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.

Conditions for use, disclaimers, and sponsorship information

更新履歴

October 8, 2001:  initial release
October 11,2001:  added information to systems affected section
October 15,2001:  revised systems affected section

この和訳は橋本喜代太(hash@reasoning.org)が行った。和訳公開は原文を受け取ってから(訳者の使用しているPOPサーバにメールが届いた時点であり、訳者自身がメールを見た時点ではない) 約3時間後である。

本和訳の改訂履歴
2001年10月9日午前8時40分 (JST) 初版公開
2001年10月9日午前9時40分 (JST) typoの修正と、いくつか訳注を追加した。
2001年12月14日午後9時35分 (JST) 更新履歴にある改訂に追従し、それに該当していた訳者追補も改訂した。

訳者並びに連絡先: 橋本喜代太