Microsoft セキュリティ アドバイザリ 4053440
動的データ交換 (DDE) フィールドを含む Microsoft Office ドキュメントを安全に開く
公開日: 2017 年 11 月 8 日 |更新日: 2018 年 1 月 9 日
バージョン: 3.0
概要
Microsoft は、Microsoft Office アプリlications のセキュリティ設定に関する情報を提供するために、このセキュリティ アドバイザリをリリースしています。 このアドバイザリでは、動的データ 交換 (DDE) フィールドを処理するときにこれらのアプリケーションが適切にセキュリティで保護されるようにするために、ユーザーが実行できる操作に関するガイダンスを提供します。
動的データ交換について
Microsoft Office には、アプリケーション間でデータを転送するためのいくつかの方法が用意されています。 DDE プロトコルは、一連のメッセージとガイドラインです。 データを共有するアプリケーション間でメッセージを送信し、共有メモリを使用してアプリケーション間でデータを交換します。 アプリケーションでは、DDE プロトコルを使用して、1 回限りのデータ転送や、新しいデータが使用可能になったときにアプリケーションが相互に更新を送信する継続的な交換を行うことができます。
シナリオ
電子メール攻撃のシナリオでは、攻撃者は、特別に細工されたファイルをユーザーに送信し、通常は電子メール内の魅力的な方法でファイルを開くようユーザーに勧めることで、DDE プロトコルを利用する可能性があります。 攻撃者は、保護モードを無効にし、1 つ以上の追加プロンプトをクリックするようにユーザーを誘導する必要があります。 電子メールの添付ファイルは、攻撃者がマルウェアの拡散に使用する主な方法です。Microsoft では、疑わしい添付ファイルを開くときに注意を払うことを強くお勧めします。
DDE 機能コントロール キー
Microsoft Office には、レジストリに格納され、製品の機能の変更、業界標準のサポートの向上、セキュリティの向上を担当するいくつかの機能コントロール キーが用意されています。 Microsoft では、これらの機能コントロール キーを文書化しており、セキュリティ上の理由から特定の機能コントロール キーを有効にすることを推奨しています。 以下を参照してください:
- Office 2016: Office へのアクセスのセキュリティ保護と制御
- Office 2013: Office 2013 のセキュリティ保護
Microsoft では、Microsoft Office のすべてのユーザーに対して、セキュリティ関連の機能コントロール キーを確認し、有効にすることを強くお勧めします。 次のセクションで説明するレジストリ キーを設定すると、リンクされたフィールドからのデータの自動更新が無効になります。
2017 年 12 月 12 日の更新プログラム では、ユーザーが環境に基づいて DDE プロトコルの機能を設定できる、サポートされているすべてのエディションの Microsoft Word の更新プログラムがリリースされました。 詳細と更新プログラムのダウンロードについては、ADV170021を参照してください。
2018 年 1 月 9 日の更新プログラム では、ユーザーが環境に基づいて DDE プロトコルの機能を設定できる、サポートされているすべてのエディションの Microsoft Excel の更新プログラムがリリースされました。 詳細と更新プログラムのダウンロードについては、ADV170021を参照してください。
DDE 攻撃シナリオの軽減
直ちにアクションを実行するユーザーは、Microsoft Office のレジストリ エントリを手動で作成して設定することで、自分自身を保護できます。 システムにインストールされているOffice アプリに基づいてレジストリ キーを設定するには、次の手順に従います。
警告: レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの不適切な使用によって生じた問題については、解決を保証できません。 リスクを理解した上でレジストリ エディターを使用してください。
レジストリ エントリに変更を加える前に、レジストリをバックアップすることをお勧めします。
Microsoft Excel
Excel は、ドキュメントを起動する DDE 機能に依存します。
Excel からのリンクの自動更新 (DDE、OLE、外部セルまたは定義済みの名前参照を含む) を防ぐには、各バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン | レジストリ キー <のバージョン> 文字列 |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- ユーザー インターフェイスを使用して DDE 機能を無効にするには:
ブック リンクの File-Options-Trust>> Center-Trust> Center 設定...->External Content-Security> 設定を設定する = ブック リンクの自動更新を無効にします。 - レジストリ エディターを使用して DDE 機能を無効にするには:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2
軽減策の影響: この機能を無効にすると、Excel スプレッドシートがレジストリで無効になっている場合に動的に更新できなくなる可能性があります。 データはライブ フィードを介して自動的に更新されなくなったため、完全に最新ではない可能性があります。 ワークシートを更新するには、ユーザーがフィードを手動で開始する必要があります。 また、ユーザーには、ワークシートを手動で更新するよう促すメッセージは表示されません。
Microsoft Outlook
各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン | レジストリ キー </バージョン> 文字列 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- Office 2010 以降のバージョンでは、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1
- Office 2007 の場合は、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
軽減策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] をクリックすることで、引き続き更新を有効にすることができます。
Microsoft Publisher
Publisher ドキュメント内に埋め込まれている DDE プロトコルを使用する Word 文書は、攻撃ベクトルになる可能性があります。 Word レジストリ キーの変更を適用することで、この攻撃ベクトルを防ぐことができます。 Word レジストリ キーの値については、次のセクションを参照してください。
Microsoft Word
ユーザーが環境に基づいて DDE プロトコルの機能を設定できるようにする Microsoft Word の更新プログラムについては、ADV170021を参照してください。
各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン | レジストリ キー </バージョン> 文字列 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
- Office 2010 以降のバージョンでは、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options]
DontUpdateLinks(DWORD)=1
- Office 2007 の場合は、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
軽減策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] をクリックすることで、引き続き更新を有効にすることができます。
Windows 10 Fall Creators Update (バージョン 1709)
Windows 10 Fall Creators Update のユーザーは、Windows Defender Exploit Guard を利用して、攻撃面の減少 (ASR) ルールを使用して DDE ベースのマルウェアをブロックできます。
ASR は、Windows Defender Exploit Guard 内のコンポーネントであり、企業に組み込みインテリジェンスのセットを提供します。これにより、悪意のあるドキュメントで使用される基になる動作をブロックして、製品の操作を妨げることなく攻撃を実行できます。 脅威や悪用とは無関係に悪意のある動作をブロックすることで、ASR は、最近検出された脆弱性 (CVE-2017-8759、CVE-2017-11292、CVE-2017-11826) のような、これまで見たことのないゼロデイ攻撃から企業を保護できます。
Office アプリの場合、ASR は次のことができます。
- Office アプリが実行可能なコンテンツを作成できないようにする
- Office アプリが子プロセスを起動できないようにする
- プロセスへのOffice アプリの挿入をブロックする
- Office でマクロ コードからの Win32 インポートをブロックする
- 難読化されたマクロ コードをブロックする
DDEDownloader などの新たな悪用では、Office ドキュメントの動的データ 交換 (DDE) ポップアップを使用して PowerShell ダウンローダーを実行します。ただし、その際に、対応する子プロセス ルールによってブロックされる子プロセスが起動されます。
Windows Defender Exploit Guard を Windows Defender Advanced Threat Protection (ATP) と共に使用して、エンタープライズ レベルのセキュリティリスクと問題を調査して対応できます。 Windows Defender Exploit Guard と Windows Defender ATP の詳細については、次を参照してください。
- Windows Defender Exploit Guard
- Windows Defender Advanced Threat Protection
- Windows Defender ATP の無料試用版に登録する
- Windows Defender Exploit Guard: 次世代マルウェアに対する攻撃対象領域を減らす
Microsoft はこの問題をさらに調査しており、情報が利用可能になったときにこの記事に詳細情報を投稿します。
その他の推奨されるアクション
- PC を保護する
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください。 - Microsoft ソフトウェアを最新の状態に保つ
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
その他の情報
免責情報
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン
- V1.0 (2017 年 11 月 8 日): アドバイザリが公開されました。
- V1.1 (2017 年 11 月 30 日): Windows 10 Fall Creators Update セクションを更新し、攻撃表面の縮小 (ASR) ルールに関する詳細を示しました。 これは情報の変更のみです。
- V2.0 (2017 年 12 月 12 日): Microsoft は、ユーザーが環境に基づいて DDE プロトコルの機能を設定できる、サポートされているすべてのエディションの Microsoft Word の更新プログラムをリリースしました。 詳細と更新プログラムのダウンロードについては、ADV170021を参照してください。
- V3.0 (2018 年 1 月 9 日): Microsoft は、サポートされているすべてのエディションの Microsoft Excel の更新プログラムをリリースしました。これにより、ユーザーは環境に基づいて DDE プロトコルの機能を設定できます。 詳細と更新プログラムのダウンロードについては、ADV170021を参照してください。