日経クロステックが『覆された常識』とか言ってるCSV を利用した攻撃の情報がちょっと古い件

覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)

テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。

CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。

 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excel
をインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするなどして開こうとす
るとExcelが起動され、そのCSVファイルの内容を読み込まれる。

 CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はない。だが、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作する。コマンド(プログラム)を実行する関数を記述することもできる。

これ、EXCELに絞ってるけど、実は CSV を開けるすべてのアプリケーションに存在する脆弱性として4年前に指摘された物なんですよね

CVE-2014-3524
JVN iPedia - 脆弱性対策情報データベース
ここでは Open Office が取り上げられてるけど
CSV Excel Macro Injection という名前で記事になっている
Comma Separated Vulnerabilities | Context Information Security
Hack Patch!: CEMIについて

ちなみに、Office 2007 以降であれば、不正なコードがあっても、ちゃんと開くときに警告が出ます
nazo

ここで、許可しても、
「外部のデーターにアクセスできません。
このデータにアクセスするには他のアプリケーションを開始する必要があります。ただし、お使いのコンピューター上の適正なアプリケーションであっても、ウィルスを送信したり、コンピューターに損害を与えるような安全でない操作に利用される場合があります。このブックの作成元が信頼でき、ブックによってアプリケーションが開始されるのを許可する場合のみ [はい] をクリックしてください。 アプリケーション `***` を開始しますか?」
となります

bugbounty/CEMI.md at master ・ cybozu/bugbounty ・ GitHub
Microsoftからも「ご報告いただきました動作は、ユーザーがマクロを有効にする必要があることから、本件は脆弱性ではないと判断しております。 弊社が考えております脆弱性の説明およびセキュリティに関する鉄則は、以下も併せてご参照ください。」と返って来ていて、脆弱性ではないとの判断ですね ・ω・

#90415 CSV Excel Macro Injection in Export Response
具体的な Excel への手順がフォーラムなどに上がってるのは 2015年10月頃から

要するに、EXCELが悪いわけじゃなくて、警告が出てるのに、出所の分からないCSVを開いてしまうユーザー。
警告すら出ないバージョンの古い EXCEL を使ってるユーザーが害悪
なだけでした ・ω・

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です