Excel の脆弱性とスプレッドシートコントロール
こんにちは、丸山満彦です。マイクロソフトエクセルの脆弱性については、ゼロデイアタックもあったというような話もあります。ところで、エクセルは期末決算の時に、試算表の作成、連結財務諸表の作成、注記の作成などで利用されることが多いわけですが、エクセルに脆弱性が存在する前提に立った場合、どこまで脆弱性管理ができていると、財務報告に係る内部統制が有効といえるのでしょうか。。。
スプレッドシートコントロールは期末の作業だけでなく、いろいろな局面で利用されている表計算ソフト全てに関係してくる問題ですね。このような脆弱性がどの程度問題なのか・・・というのは、発生可能性のを考慮しなければなりませんね。このような脆弱性をついて財務報告に係るデータを改ざんされる可能性を考えるのも重要ですが、そもそもスプレッドシート自体がアクセス管理されていないケース(例えば、数式を誰でも変更できる)もありますから、そっちのほうが本当は問題ですね。
【Excelの脆弱性情報】
■マイクロソフトセキュリティ アドバイザリ (921365)
・2006.06.20 Excel の脆弱性により、リモートでコードが実行される
■Microsoft Security Response Center Blog
・2006.06.16 Reports of a new vulnerability in Microsoft Excel
●2006.06.21
・@ Police マイクロソフト社の Microsoft Excel の脆弱性について(6/21)更新
・ITPro またもやWindowsにパッチ未公開のセキュリティ・ホール,Excelが影響を受ける
・ITmedia Excel、今度は「ハイパーリンク」で未パッチの脆弱性
・CNET Japan Excelにまたパッチ未公開の脆弱性--悪用コードも公開に
●2006.06.20
・Trend Micro Microsoft Excelのセキュリティホールを悪用したウイルスにご注意ください
・ITPro Excelのパッチ未公開セキュリティ・ホール,マイクロソフトが回避策を公表
・ITmedia MS、Excelのゼロデイ攻撃の回避策を公開
・ITmedia Excel脆弱性、Office文書も攻撃対象に
・japan.internet.com 『Excel』に未対応の脆弱性、既にゼロデイ攻撃も発生
・Internet Watch Excelのパッチ未公開の脆弱性、Microsoftがセキュリティアドバイザリを公開
●2006.06.19
・CNET Japan Excelに新たな脆弱性、早くも攻撃に悪用
・US NIST NVD Vulnerability Summary CVE-2006-3086
●2006.06.16
・ITPro Excelにパッチ未公開のセキュリティ・ホール,ファイルを開くだけで被害に
・ITmedia MS、Excelの新たな脆弱性を警告
・Internet Watch Excelにもパッチ未提供の脆弱性、ユーザーから“ゼロデイ攻撃”の報告
Comments