MicrosoftがWordとExcelで実装している文書暗号化の手法に「深刻な」脆弱性が存在すると、あるセキュリティ研究者が報告している。
この問題は、文書を作成して保存し直す際の、128ビットのRC4暗号アルゴリズム実装方法に存在する。この状況で、同プログラムでは同じパスワード鍵と初期化ベクターを使って、同じ文書の別々のバージョンの暗号化を行っていると見られる。通常、同じパスワード鍵を使う場合は違うベクターを用いる必要がある。
この問題は、シンガポールにあるInstitute of Infocomm Researcのホンジュン・ウー氏の調査で発覚した。同氏は新しい論文の「The Misuse of RC4 in Microsoft Word and Excel」でこの問題について解説している。
この脆弱性はWordとExcelの全バージョンに影響すると見られ、かなり技術的なものに思えるが、ウー氏は日常的な利用で文書のセキュリティが大きく損なわれるケースを多数紹介している。その一例として、同じ職場で2人が一つの文書からそれぞれのバージョンを編集しても、パスワードは同じままというケースが挙げられる。
Microsoftにコメントを求めたが、返答は得られていない。
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR