Windows XP 上でなければ Office 2003 を使い続けても安全?
(この記事は 2014 年 3 月 10 日に日本のセキュリティチームブログに投稿された記事のクロスポストです)
答えは NO! です。
2014 年 4 月 8 日 (火) (米国時間) に Windows XP と Office 2003 のサポートが終了となるまで残り 30 日。たとえ Windows Vista や Windows 7 などの、サポートが継続しているオペレーティング システム上であっても、サポート終了後の Office 2003 を使い続けることは危険です。オペレーティング システムと同様、Office などのアプリケーションにも脆弱性が存在し、サポート終了後は、新たな脆弱性が発見されてもセキュリティ更新プログラムが提供されないためです。また、通常セキュリティ更新プログラムが公開されると、攻撃者はリバース エンジニアリングを行って脆弱性を特定し悪用コードを作成するのですが、サポート中の上位 Office バージョンにセキュリティ更新プログラムが提供されれば、Office 2003 に存在する同じ脆弱性はすぐに特定されるため、サポート終了によりセキュリティ更新プログラムが提供されない Office 2003 は永遠に「ゼロデイ」状態となります。
新しい Office のセキュリティ機能
標的型攻撃 (APT) や情報漏えいが日々話題となりますが、そんな現代のセキュリティ脅威に対し、新しい Office は耐性があります。Office 2003 のリリースから 10 年以上経つ中で得られた経験が蓄積されているのです。例えば、Office 2007 以降では、Office ドキュメントを使った攻撃を行いにくくするため、デフォルトのフォーマットを XML (構造化されたテキスト) に変更し (.docx, .pptx, .xlsx など)、攻撃コードの挿入を困難にしました (図 1)。また、最近のOfficeのリリースはもちろんのこと、攻撃を受けやすい部分を軽減する機能 (ファイル検証機能、ファイル制限機能、Active Contents の無効化、危険な Active X の無効化など) や、攻撃を受けやすい部分を強化する機能 (ASLR や DEP など)、また、保護されたビュー (サンドボックス)などを実装しています (図 2)。
図 1: .pptx と .ppt の構造の違い
図 2: Office 2010・Office 2013 の対策例
そのほか、こちらの Office 365 ProPlus セキュリティ ホワイトペーパーでも強化されたセキュリティについて紹介しています。Office 365 は、多要素認証、Office 365 Message Encryption、S/MIME 暗号化機能、ディレクトリベースのエッジ ブロックや Exchange Online Protectionの機能 など、セキュリティとプライバシーの保護に徹底的なクラウドサービス機能もいくつかありますので、ご興味のある方はぜひご確認ください。
おわりに
10 年以上前に開発された Office 2003 のセキュリティ対策は、セキュリティ更新プログラムの適用による脆弱性対応のみです。しかし、その脆弱性対応も、間もなく訪れるサポートの終了に伴い行えなくなります。Office や PDF などのドキュメントは標的型攻撃やソーシャル エンジニアリング攻撃でよく利用されます。Windows Vista や Windows 7 などサポート中のオペレーティング システム上かどうかにかかわらず、サポート終了後の Office 2003 を使用するのは危険ですので、早めにサポートが継続している製品へ移行されることをお勧めします。なお、ご参考までですが、Office Professional 2010 は 2020 年 10 月 13 日まで、Office Professional 2013 は 2023 年 4 月 11 日まで、延長サポート対象外の Office 2011 for Mac は 2016 年 1 月 12 日までサポートを提供しています。(すべて米国時間)
関連リンク