マイクロソフト セキュリティ アドバイザリ 4053440

動的データ交換 (DDE) フィールドが含まれている Microsoft Office ドキュメントを安全に開く

公開日: 2017 年 11 月 9 日 | 更新日: 2017 年 12 月 13 日

バージョン: 2.0

概要

概説

マイクロソフトは、Microsoft Office アプリケーションのセキュリティ設定に関する情報を提供するために、このセキュリティ アドバイザリを公開しました。このアドバイザリでは、動的データ交換 (DDE) フィールドの処理時にこれらのアプリケーションが適切にセキュリティで保護されるようにするために、ユーザー側でできる対応についてガイダンスを提供します。

動的データ交換について

Microsoft Office には、アプリケーション間でデータを転送するための方法がいくつか用意されています。DDE プロトコルは、メッセージとガイドラインのセットです。同プロトコルは、データを共有しているアプリケーション間でメッセージを送信し、共有メモリを使用してアプリケーション間でデータを交換します。アプリケーションは、新しいデータが利用可能になった場合に、DDE プロトコルを使用してワンタイムデータ転送や継続的なデータ交換を行うことで、互いに更新を送信しあうことができます。

シナリオ

電子メールの攻撃シナリオでは、攻撃者は特別に細工したファイルをユーザーに送信し、一般的には電子メールに書かれた誘い文句を利用してユーザーにそのファイルを開くよう誘導することにより、この DDE プロトコルを利用する可能性があります。ユーザーに保護モードを無効にさせ、さらに 1 つまたは複数のプロンプトをクリックさせることが、攻撃者にとっての必要条件となります。電子メールの添付ファイルは、攻撃者がマルウェアの拡散に利用できる主要な方法であるため、疑わしい添付ファイルを開く際には慎重に行うことを強くお勧めします。

DDE 機能制御キー

Microsoft Office では、機能制御キーをいくつか提供しています。これらはレジストリに保存され、製品機能の変更、業界標準へのサポート改善、およびセキュリティ向上の役割を担っています。マイクロソフトでは、これらの機能制御キーについて文書化し、セキュリティ上の理由により特定の機能制御キーを有効化することを推奨しています。次の情報を参照してください。

Microsoft Office のすべてのユーザーに対して、セキュリティ関連の機能制御キーをレビューし、有効化することを強く奨励します。以下のセクションに記載されているレジストリ キーを設定すると、リンク フィールドのデータの自動更新が無効になります。 

更新情報 2017 年 12 月 13 日、マイクロソフトは、すべてのサポートされているエディションの Microsoft Word の更新プログラムをリリースしました。この更新プログラムをインストールすると、ユーザーは環境に基づいて DDE プロトコルの機能を設定できるようになります。更新プログラムの詳細とダウンロードについては、ADV170021 を参照してください。

DDE 攻撃シナリオに対する緩和策

直ちにアクションを取りたいユーザーは、Microsoft Office 用のレジストリ エントリを手動で作成して設定することで、保護することができます。以下の手順に従って、システムにインストールされている Office アプリケーションに基づいてレジストリ キーを設定してください。

警告: レジストリ エディターを正しく使用しないと、深刻な問題が生じ、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトは、レジストリ エディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリ エディターは、お客様各自の責任において使用してください。

マイクロソフトは、レジストリ エントリを変更する前に、Windows レジストリのバックアップを作成することをお勧めします。


Microsoft Excel

Excel は、ドキュメントの起動時に DDE 機能に依存します。

Excel のリンク (DDE、OLE、外部セルへの参照、定義名への参照など) の自動更新が行われないようにするには、レジストリ キーのバージョン文字列を示した次の表を参照して、バージョンごとに設定を行ってください。

Office のバージョン

レジストリ キーの <version> 文字列

Office 2007

12.0

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • ユーザー インターフェイスを使用して DDE 機能を無効にする方法:

    次の設定を行います。[ファイル] > [オプション] > [セキュリティ センター] > [セキュリティ センターの設定] > [外部コンテンツ] > [ブック リンクのセキュリティ設定] = [ブック リンクの自動更新を無効にする]

  • レジストリ エディターを使用して DDE 機能を無効にする方法:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security]
    WorkbookLinkWarnings(DWORD) = 2
    

緩和策の影響: この機能をレジストリで無効化すると、Excel スプレッドシートが動的に更新されなくなります。ライブ フィードによる自動更新が行われない状態になっているため、データが完全には最新のものでなくなる可能性があります。ワークシートを更新するには、フィードを手動で開始する必要があります。また、ワークシートの手動更新を促すプロンプトが表示されなくなります。

Microsoft Outlook

レジストリ キーのバージョン文字列を示した次の表を参照して、Office バージョンごとに設定を行ってください。

Office のバージョン

レジストリ キーの <version> 文字列

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • Office 2010 以降のバージョンで、レジストリ エディターを使用して DDE 機能を無効にする方法:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail]
     DontUpdateLinks(DWORD)=1
    
  • Office 2007 で、レジストリ エディターを使用して DDE 機能を無効にする方法:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

緩和策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。その状態でも、フィールドを右クリックして [フィールド更新] をクリックすれば、更新を有効にできます。

Microsoft Publisher

Publisher 文書に埋め込まれている、DDE プロトコルを利用する Word 文書も、攻撃対象となり得ます。Word のレジストリ キーの変更を適用することで、この攻撃の予防に役立てることができます。Word のレジストリ キー値については、次のセクションを参照してください。

Microsoft Word

ユーザーが環境に基づいて DDE プロトコルの機能を設定できるようになる Microsoft Word の更新プログラムについては、ADV170021 を参照してください。

レジストリ キーのバージョン文字列を示した次の表を参照して、Office バージョンごとに設定を行ってください。

Office のバージョン

レジストリ キーの <version> 文字列

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • Office 2010 以降のバージョンで、レジストリ エディターを使用して DDE 機能を無効にする方法:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options]
    DontUpdateLinks(DWORD)=1
    
  • Office 2007 で、レジストリ エディターを使用して DDE 機能を無効にする方法:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

緩和策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。その状態でも、フィールドを右クリックして [フィールド更新] をクリックすれば、更新を有効にできます。


Windows 10 Fall Creators Update (version 1709)

Windows 10 Fall Creators Update のユーザーは、Windows Defender Exploit Guard の攻撃表面の縮小 (ASR) 機能を使って DDE ベースのマルウェアをブロックすることができます。

ASR は Windows Defender Exploit Guard のコンポーネントで、生産活動を妨げることなく、悪意のあるドキュメントが攻撃を実行する際に使う根本的な動作をブロックする組み込み済みのインテリジェンスをエンタープライズに提供します。ASR は、脅威や悪用の種類に関係なく悪意のある動作をブロックすることで、最近発見された脆弱性 CVE-2017-8759CVE-2017-11292CVE-2017-11826 のような、今までにないゼロデイ攻撃から企業を保護できます。

Office アプリに対して、ASR は次のことを実行できます。

  • Office アプリによる実行可能なコンテンツの作成をブロックする
  • Office アプリによる子プロセスの起動をブロックする
  • Office アプリが他のプロセスに挿入できないようにする
  • Office でマクロ コードから Win32 をインポートすることをブロックする
  • 難読化されたマクロ コードをブロックする

DDEDownloader のような新種のエクスプロイトは、Office ドキュメントの動的データ交換 (DDE) ポップアップを使用して PowerShell ダウンローダーを実行します。しかし、そうすることで、対応する子プロセス規則によってブロックされる子プロセスを起動します。

Windows Defender Exploit Guard を Windows Defender Advanced Threat Protection (ATP) と併用して、エンタープライズレベルのセキュリティ リスクと問題を調査し、対応することができます。Windows Defender Exploit Guard と Windows Defender ATP の詳細については、以下を参照してください。

マイクロソフトはこの問題をさらに調査しており、情報を入手し次第この文書に追加情報を掲載します。

推奨されるその他のアクション

  • Protect Your PC
    マイクロソフトは引き続き、「Protect Your PC」のガイダンスに従ってファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターをご覧ください。
  • マイクロソフトのソフトウェアを最新の状態に保つ
    マイクロソフトのソフトウェアを使用しているユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されるようにするのに役立ちます。ご使用のソフトウェアが最新のものかどうか明確でない場合は、Microsoft Update にアクセスし、コンピューターをスキャンして利用可能な更新プログラムがあるかどうかを調べ、提示される優先度の高い更新プログラムをインストールしてください。自動更新ツールが有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。

関連情報

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2017/11/9): このアドバイザリを公開しました。
  • V1.1 (2017/12/1): Windows 10 Fall Creators Update のセクションを更新し、攻撃表面の縮小 (ASR) 規則の詳細情報を追加しました。これは情報のみの変更です。
  • V2.0 (2017/12/13): マイクロソフトは、すべてのサポートされているエディションの Microsoft Word の更新プログラムをリリースしました。この更新プログラムをインストールすると、ユーザーは環境に基づいて DDE プロトコルの機能を設定できるようになります。更新プログラムの詳細とダウンロードについては、ADV170021 を参照してください。

Page generated 2017-12-07 12:30-08:00.
表示: