ニュース
» 2004年07月13日 15時31分 UPDATE

「Outlook+メールの編集にWord+HTMLメールの転送」で脆弱性

Outlook 2000/2003で、電子メールの編集にWordを利用している場合に、細工が施されたHTML形式メールを転送しようとすると任意のコードを実行される恐れがあるという。

[高橋睦美,ITmedia]

 マイクロソフトのメーラーOutlookで、電子メールの編集にWordを利用している場合に、悪意あるHTML形式のメールを転送しようとすると任意のコードを実行される恐れのある脆弱性が報告されている。

 この問題についてアドバイザリを出したSecuniaの情報によると、問題が発生するのはOutlook 2000/2003で、メールの編集にWord 2000もしくは2003を利用している場合だ。Outlook自身が備えるエディタを用いている場合は影響を受けない。

 この脆弱性は、上記の条件下で、Objectタグを閉じないという細工を施したHTML形式のメール(あるいはHTML形式のドキュメント)を「転送」しようとした際に発生する。転送を行おうとすると、Outlookのセキュリティゾーン設定を無視して、タグが指し示したリモートのWebサイトから勝手にActiveXコントロールのダウンロード/実行が行われる恐れがある。同じ条件でも、「返信」する際にはこの問題は発生しない。

 問題を解決する修正プログラムは存在しない。セキュリティ関連メーリングリストでこの問題を指摘した人物によれば、Microsoftではこの問題をWebバグの一種と捉えているという。同社はまた、転送/返信時のOutlookの挙動を変更することを決定すれば、今後リリースされるOfficeで変更を加えると回答したという。

 脆弱性が悪用される条件は限定されているが、既にこの脆弱性を悪用したスパムメールが流通し始めている。特に、知り合いからのメールやうまい話を装って転送を促す、ソーシャルエンジニアリング的な手法には注意が必要だ。

 対策としては、HTML形式のメールはやり取りしない(少なくともObjectタグを含むものはフィルタリングする)、スパムメールをブロックするといったメールサーバ側での対処に加え、エンドユーザー側では「ツール」-「オプション」の「メール形式」タブを確認し、メールの編集にWordを利用する、という設定のチェックを外し、Outlookが備える編集機能を利用することが挙げられる。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ