Office ファイル検証機能 (OFV) の効果について考える


先週、Office ファイル検証機能のアドイン (KB2501584) を適用した Excel 2003 でネットワーク共有上の .xls ファイルを開くのに時間がかかるとの報告があることを、このブログでもお伝えしました。Office ファイル検証機能を適用すると、ファイルを開く前に正常なファイル構造の Office ファイルかどうかを検証するステップが加わります。

今回の Excel 2003 でのパフォーマンスの問題は、Office 2003 がファイルを保存元から直接開く動作に起因して発生しています。つまり、ファイルがネットワーク上にある場合、ファイル検証がネットワークを介して実行されるため、ファイル検証処理に時間がかかり、ファイルが開かれるまでに時間がかかる現象が発生します。

Office 2007 や Office 2010 ではファイルを開く動作が変更されており一旦ファイルをローカルにコピーしてから開きます。このため、ネットワーク共有上のファイルを開いた場合でも Office ファイル検証機能によるパフォーマンスの問題は起きません。マイクロソフトは現在、Excel 2003 においても Office ファイル検証機能使用時のパフォーマンスを改善する取り組みを行っています。

さて、この Office ファイル検証機能、実際に悪意のあるファイル (マルウェア等を含むファイル) に対して、どの程度効力があるのでしょうか?

Office 開発チームのブログ にもありますが、2007 年初頭からの 4 年間でマイクロソフトが報告を受けた Office 製品に関する脆弱性報告について、のちの検証で、その 80% 以上が Office ファイル検証機能によって回避可能であったことが分かっています。Office ファイル検証機能は、Office 2010 (2010 年 7 月 15 日発売) から実装された機能です。その有効性は自明だったことから、マイクロソフトは 2011 年 4 月に Office ファイル検証機能 (アドイン) を下位の Office 2003 や Office 2007 へも提供を開始しました。

Office ファイル検証機能が有効になっている場合、ゼロデイ攻撃や、セキュリティ更新を適用していない環境でも脆弱性の悪用を防ぐことができます。例えば、MS11-022 (PowerPoint) で修正した 3 件の脆弱性はいずれも、Office ファイル検証機能により悪用が防止されます。つまり、セキュリティ更新プログラムが早急に適用できないような環境においても、Office ファイル検証機能を適用していることで、脆弱性の悪用からシステムを保護することができます。

昨今の大規模情報漏えい事件の発端は、数人の社員の “うっかりオペレーション” により引き起こされていることが多いです。外部から送られた、ファイル構造を改ざんした悪意のある .doc, .xls, .ppt, .pub 形式のファイルをうっかり開いてしまい、マルウェアに感染し、攻撃者に本格的に組織に入り込まれ、機密情報・顧客情報が盗まれる…こういった事件を防止するためにも、Office ファイル検証機能の有効性を今一度認識いただければ幸いです。

関連情報:
ブログ: Office 2003/2007 のファイル検証機能の組み込み
http://blogs.technet.com/b/jpsecurity/archive/2011/04/14/3421458.aspx

Microsoft Office 向けの Microsoft Office ファイル検証機能の公開
http://support.microsoft.com/kb/2501584/ja

マイクロソフト セキュリティ アドバイザリ (2501584): Microsoft Office 向けの Microsoft Office ファイル検証機能の公開
http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx


Skip to main content