[MS02-059] Word のフィールド コードおよび Excel の外部データ更新の問題により、情報が漏えいされる

文書翻訳 文書翻訳
文書番号: 330008 - 対象製品
この記事は、以前は次の ID で公開されていました: JP330008
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

現象

Word および Excel では、あるドキュメントのデータを別のドキュメントに挿入したり、別のドキュメントでデータを更新したりするためのメカニズムが提供されています。このメカニズムは、Word では "フィールド コード"、Excel では "外部データの更新" または "リンクの更新" として知られ、ユーザーの便宜のために自動化することができます。たとえば、Word のフィールド コードは、法律文書で標準の免責条項の段落を自動的に挿入する際に使用できます。また、Excel の外部データの更新を使用することにより、あるシート内で、別のシートのデータを使用しているグラフを自動更新することが可能です。

ただし、フィールド コードおよび外部データの更新が悪用されると、気付かないうちにユーザーの情報が盗み出される可能性があります。ユーザーがドキュメントを保存したり、リンクを手動で更新したりしたときなど、特定のイベントが発生すると、外部データやフィールド コードの更新が行われます。通常、ユーザーはこれらの更新が行われることを確認できます。しかし、特殊な形式のフィールド コードや外部データの更新が使用された場合、更新が行われることがユーザーに示されずに実行される可能性があります。これを利用して、開かれたときにそれ自体を更新するドキュメントを攻撃者が作成すると、ユーザーのローカル コンピュータのファイルの内容がそのドキュメントに取り込まれる可能性があります。

攻撃者がこの脆弱性を悪用するには、以下の手順を実行する必要があります。
  1. この脆弱性を悪用する Word または Excel のドキュメントを作成します。
  2. 電子メールなどの方法を使用して、ドキュメントをユーザーに渡します。
  3. ユーザーを誘導してドキュメントを開かせます。
通常、攻撃に成功するには、以上の操作の後、ユーザーが攻撃者にそのドキュメントを返す必要があります。

ただし、マイクロソフトでは、ユーザーがドキュメントの返信を行う必要のないケースを 1 つ認識しています。それは、攻撃者のドキュメントが情報を直接 Web サイトに送信するというケースですが、この場合、送信されるのはファイルの先頭の行のみです。

解決方法

Word 2002

Word 2002 を使用している場合、Word 2002 用の更新プログラムを適用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
329748 WD2002: Overview of the Word 2002 Update: October 16, 2002
329748 [WD2002] Word 2002 アップデート : 2002 年 10 月 16 日の概要

Excel 2002

Excel 2002 を使用している場合、Excel 2002 用の更新プログラムを適用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
329750 XL2002: Overview of Excel 2002 SP-2 Update: October 16, 2002
329750 [XL2002] Excel 2002 SP-2 アップデート : 2002 年 10 月 16 日の概要

Word 2000

Word 2000 を使用している場合、Word 2000 用の更新プログラムを適用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
329749 WD2000: Overview of the Word 2000 SR-1 Update: October 16, 2002
329749 [WD2000] Word 2000 アップデート : 2002 年 10 月 16 日の概要

Word 97、および Word 98 for Windows 日本語版

Word 97、または Word 98 for Windows 日本語版を使用している場合、Word 97 および Word 98 for Windows 日本語版用の更新プログラムを適用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
330080 WD97: Word 97 Is Vulnerable to Security Issues That Are Documented in Word 2002 Update: October 16, 2002
330080 [WD97] Word 97 に存在する MS02-059 のセキュリティ問題

Word X for Mac、Word 2001 for Macintosh、Word 98 Macintosh Edition

Macintosh 版の Microsoft Word に対応する更新プログラムの入手については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/mac/download/security.asp

状況

マイクロソフトでは、この問題によって、この資料の対象製品として記載されているマイクロソフト製品に、何らかのセキュリティの脆弱性が生じることを認識しています。

詳細

これらの脆弱性の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/mac/download/default.asp

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 330008 (最終更新日 2003-11-25) を基に作成したものです。

プロパティ

文書番号: 330008 - 最終更新日: 2014年2月26日 - リビジョン: 6.6
この資料は以下の製品について記述したものです。
  • Microsoft Excel 2002 Standard Edition
  • Microsoft Word 2002
  • Microsoft Word 2000
  • Microsoft Word 97 Standard Edition
  • Microsoft Word X for Mac
  • Microsoft Word 2001 for Mac
  • Microsoft Word 98 for Macintosh
  • Microsoft Word 98 Standard Edition
キーワード:?
kbnosurvey kbarchive kbhotfixserver kbbug kbfix kbofficexppresp2fix kbsecbulletin kbsecurity kbsecvulnerability KB330008
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com