Microsoftに残された最後の大きなセキュリティ問題（2/2 ページ）

MicrosoftはWindows XP SP2やVistaを通じて自社製品のセキュリティを大幅に改善した。だが、Officeのファイルフォーマットという大きな問題がまだ1つ残されている。

[Larry Seltzer，eWEEK]

　唯一の合理的なアプローチは、Microsoftが新しい改良されたファイルフォーマットを作成することであり、同社はOffice 2007でまさにそれを行ったのである。この新しいファイルフォーマットは、zip形式で圧縮されたXMLファイルだ（ただ皮肉なことに、このフォーマットに関する説明のリンク先は.docファイルになっている）。

　もちろん、これらのファイルもそれなりの脆弱性を抱えている可能性がある（おそらく高い）だろうが、これらは人々がセキュリティに関心を持っている時代に作成されるという点が異なる。

　残念ながら、世の中には多数の.docファイルと.xlsファイルが存在する。どうすればいいのだろうか。

　Microsoftでは当然、あらゆる人々がOffice 2007にアップグレードするのを望んでいるだろう。しかし同時に、旧バージョンの耐用年数をあと数年長引かせるという危険を冒してでも、ユーザーを新フォーマットに移行させることが同社にとって重要なのだ。だから同社は「Office Compatibility Pack for Word, Excel and PowerPoint 2007 File Formats」をリリースしたのである。これは、Office XPとOffice 2003でOffice 2007ドキュメントを開き、Office 2000でOffice 2007ドキュメントを変換することを可能にする（関連記事）。

　少なくとも総合的に見れば、これはMicrosoftができる精一杯のことだろう。これほど普及しているファイルフォーマット（他社製品でも利用されている）からユーザーを引き離すのは容易ではない。しかし同社はできる限りのことをしなければならない。なぜなら、これからも脆弱性が現れ、Microsoftはそのたびにパッチを提供しなければならず、向こう2年間は危機的な状況が続くと予想されるからである。

　一般論としては（あくまで私見だが）、われわれは脆弱性を悪用したエクスプロイト（攻撃コード）が含まれるOfficeファイルを検知する手段としてウイルス対策（AV）ソフトウェアに頼る必要がある。いずれにせよ、AVプログラムはファイルをスキャンし、その中に書き込まれているマルウェアを検出するためにファイルフォーマットを理解することができる。だからおそらく、エクスプロイトを見つけることができるはずだ。しかしその実力はどの程度のものなのだろうか。

　「PC-Welt」のサイトに掲載されているように、AV-Testのアンドレアス・マークス氏は、既知の（パッチ適用済み）および新しい（ゼロデイ、パッチ未適用）のMS Officeエクスプロイト（doc、xls、ppt、mdb）に対する各種AVプログラムの防護能力をテストした。この記事はドイツ語で書かれているが、内容はとても分かりやすい。製品名、検出件数、検出率、検出失敗件数、検出失敗率が表で示されているからだ。

　この結果はあまり芳しいものではないと言わざるを得ない。アンドレアスによると、これは、Microsoftがもっと迅速にパッチを提供する必要があることを示しているという。もちろん、パッチが早く提供されるのに越したことはないが、わたしの考えでは、この結果は、われわれがはまり込んだ穴がいかに深いかを示すものだ。

　Microsoftがいくら急いでパッチを提供しても間に合わない。同社にできるのは、古いフォーマットを甲板から投げ捨て、全速力でそこからできるだけ遠くに離れることだけだ。