Outlookを起動しただけで感染する脆弱性 - MSはパッチ配布済み

カスペルスキーは1月5日、Microsoft Officeに含まれているメールソフト「Outlook」で新たに見つかった脆弱性について解説した。

Outlookの「BadWinmail」という脆弱性は、メールを開かなくても、Outlookを起動しただけでウイルスに感染させる恐れがある。その名称は、発見したセキュリティリサーチャーのリー・ハイフェイ（Haifei Li）氏が付けたもの。

原因となるのは「OLE(Object Linking and Embedding)」と呼ばれる機能。これは、MS Officeのファイルにオブジェクトを埋め込むための機能で、WordやExcelのファイルだけでなく、Outlookのメールにも埋め込むことが可能だ。

OLEは、埋め込まれたすべてのオブジェクトを実行する仕様となっており、セキュリティ対策がほとんど考慮されていない。オブジェクト内に悪意あるコードが含まれていた場合でも実行してしまう。

攻撃者は、OLEを悪用し、エクスプロイトが添付されたメールを送信する。Outlookは、標準でソフトの起動時にメールを受信する設定になっており、Outlookの起動と同時に悪意のあるメールを受信し、攻撃が実行されてしまう。

カスペルスキーは、今回の件からOutlookのセキュリティ対策が不十分であることを指摘している。ブログでは、Flashを例に出し、セキュリティ対策を紹介している。

Flashが「脆弱性の宝庫」であることは、セキュリティに詳しい人であれば周知の事実。そこで、多くの開発者は、自社のソフトウェアでFlashコンテンツを使う時は「サンドボックス」を利用する。サンドボックスとは、社内のネットワークから完全に切り離された仮想の環境であり、サンドボックス内であれば危険なコードを実行した場合でも外部が影響を受けることはない。

Outlookは、危険性のあるオブジェクトに対してこのようなサンドボックスを使用していない。そのため、「埋め込みオブジェクトの中に悪意あるコードが含まれていても、PCにインストールされている他のソフトウェアと同じようにふるまえる」という。

マイクロソフトは、発見したリー・ハイフェイ氏からの報告を受け、12月の月例アップデートで更新プログラムを配布した。Outlookをアップデートすることで、BadWinmailを悪用した攻撃を防ぐことができる。カスペルスキーは、まだアップデートをしていないユーザーへ注意を促している。