WordとExcelの暗号化手法に脆弱性

Microsoft Word、Excelのドキュメント保存時における暗号化手法に脆弱性が存在することが報告されている。（IDG）

[IDG Japan]

　MicrosoftがWordとExcelで実装している文書暗号化の手法に「深刻な」脆弱性が存在すると、あるセキュリティ研究者が報告している。

　この問題は、文書を作成して保存し直す際の、128ビットのRC4暗号アルゴリズム実装方法に存在する。この状況で、同プログラムでは同じパスワード鍵と初期化ベクターを使って、同じ文書の別々のバージョンの暗号化を行っていると見られる。通常、同じパスワード鍵を使う場合は違うベクターを用いる必要がある。

　この問題は、シンガポールにあるInstitute of Infocomm Researcのホンジュン・ウー氏の調査で発覚した。同氏は新しい論文の「The Misuse of RC4 in Microsoft Word and Excel」でこの問題について解説している。

　この脆弱性はWordとExcelの全バージョンに影響すると見られ、かなり技術的なものに思えるが、ウー氏は日常的な利用で文書のセキュリティが大きく損なわれるケースを多数紹介している。その一例として、同じ職場で2人が一つの文書からそれぞれのバージョンを編集しても、パスワードは同じままというケースが挙げられる。

　Microsoftにコメントを求めたが、返答は得られていない。