テキストファイルは開いても安全――。
情報セキュリティーの常識。
ところが、その常識が覆されたでつ。
テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認。
CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがあるでつ。
CSVファイルも危ないファイル形式の1つだと認識すべきでつなぁ~
CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのことでつなぁ~
CSVは「Comma Separeted Value(コンマ・セパレーテッド・バリュー)」の略。
ファイルの拡張子は「csv」。
CSVファイルの中にはテキストの情報しかないでつ。
だけど、拡張子が「txt」などのテキストファイルとは大きく異なる点があるでつ。
初期設定で表計算ソフト「Excel(エクセル)」と関連付けられている点。
Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられるでつ。
つまり、CSVファイルをダブルクリックするなどして開こうとするとExcelが起動して、そのCSVファイルの内容が読み込まれるでつ。
CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はないでつ。
だけど、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作。
コマンド(プログラム)を実行する関数を記述することもできるでつ。
このため、Excelがインストールされている環境で細工が施されたCSVファイルを開くと、攻撃者が意図したコマンドを実行させられる恐れがあるでつ。
任意のコマンドを実行させられるので、ローカル(CSVファイルを開いたパソコン)にあるプログラムはもちろん、
インターネット上のサーバーに置いたウイルスをダウンロードさせて実行させるといったことも可能。
そのようなコマンドが書かれたCSVファイルが、危険なCSVファイルの正体であるでつ。
CSVファイルを悪用した攻撃が可能であることは、2014年ごろから一部の記事やブログなどで指摘されていたでつ。
この懸念は現実のものとなったでつ。
18年第1四半期(18年1月~3月)、サイバー攻撃情報を共有する取り組みであるサイバー情報共有イニシアティブ(J-CSIP)の参加組織(企業)に、
細工が施された危険なCSVファイルが送られてきたでつ。
J-CSIPではIPAをハブとして、重要インフラ事業者など11業界227組織がサイバー攻撃に関する情報を共有して対策に役立てているでつ。
CSVファイルが実際の攻撃に使われているのを見たのはこれが初めてで、ある組織を狙って送られてきたCSVファイルに関する情報は、
IPAを通じて参加組織全体で共有されたでつ。
なお、どの業界・組織に送られてきたのか、何通送られてきたのかなどは非公開。
そのCSVファイルによる実害があったかどうかも明らかにはされていないでつ。
実際の攻撃に使われ始めたCSVファイル。今後も悪用される可能性は非常に高いでつ。
ただ、一般的なウイルス対策は通用しないでつ。
CSVファイルはテキストファイルであり、それ自体には悪質なプログラムは仕込まれていないので、ウイルス対策ソフトで検知するのは難しいでつ。
また、CSVファイルに書かれている関数を解釈して実行するというExcelの挙動は仕様に従ったものであり、脆弱性ではないでつ。
このため修正プログラム(パッチ)をきちんと適用していても防げないでつ。
だけど対策はあるでつ。
ExcelはCSVファイルに記述されたコマンドなどを実行する前に、警告ダイアログを表示するでつ。
ここで「無効にする」を選択すればコマンドなどは実行されないでつ。
初期設定では「無効にする」が指定されているので、警告ダイアログが表示された際にEnterキーを押せば無効になるでつ。
つまり、警告ダイアログが表示されたら、「無効にする」が指定された状態でEnterキーを押すことが、CSVファイルを使った攻撃の対策になるでつ。
逆に、「有効にする」を選択して進んでしまうと、コマンドが実行され、バックグラウンドでウイルスがダウンロードおよび実行されることになるでつ。
実際は、「有効にする」をクリックしてもすぐにはコマンドなどが実行されず、別の警告ダイアログが表示されることがほとんど。
だけど、最初の警告ダイアログで『有効にする』を選ぶようなユーザーは、その後のダイアログも誤った選択をする可能性が高いでつ。
ユーザーには、最初のダイアログが出た時点で『無効にする』を選択するよう周知徹底することが重要。
なお、危険なCSVファイルであっても、メモ帳などのテキストエディターで開く分には問題はないでつ。
悪質な関数が記述されていても、テキストエディターは関数を解釈せず、コマンドなどを実行しないことが重要でつなぁ~
だけど、セキリティソフトもいろいろと対策してくれるから、やっぱりセキリティはしっかりしたものを入れないといけないでつなぁ~
情報セキュリティーの常識。
ところが、その常識が覆されたでつ。
テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認。
CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがあるでつ。
CSVファイルも危ないファイル形式の1つだと認識すべきでつなぁ~
CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのことでつなぁ~
CSVは「Comma Separeted Value(コンマ・セパレーテッド・バリュー)」の略。
ファイルの拡張子は「csv」。
CSVファイルの中にはテキストの情報しかないでつ。
だけど、拡張子が「txt」などのテキストファイルとは大きく異なる点があるでつ。
初期設定で表計算ソフト「Excel(エクセル)」と関連付けられている点。
Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられるでつ。
つまり、CSVファイルをダブルクリックするなどして開こうとするとExcelが起動して、そのCSVファイルの内容が読み込まれるでつ。
CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はないでつ。
だけど、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作。
コマンド(プログラム)を実行する関数を記述することもできるでつ。
このため、Excelがインストールされている環境で細工が施されたCSVファイルを開くと、攻撃者が意図したコマンドを実行させられる恐れがあるでつ。
任意のコマンドを実行させられるので、ローカル(CSVファイルを開いたパソコン)にあるプログラムはもちろん、
インターネット上のサーバーに置いたウイルスをダウンロードさせて実行させるといったことも可能。
そのようなコマンドが書かれたCSVファイルが、危険なCSVファイルの正体であるでつ。
CSVファイルを悪用した攻撃が可能であることは、2014年ごろから一部の記事やブログなどで指摘されていたでつ。
この懸念は現実のものとなったでつ。
18年第1四半期(18年1月~3月)、サイバー攻撃情報を共有する取り組みであるサイバー情報共有イニシアティブ(J-CSIP)の参加組織(企業)に、
細工が施された危険なCSVファイルが送られてきたでつ。
J-CSIPではIPAをハブとして、重要インフラ事業者など11業界227組織がサイバー攻撃に関する情報を共有して対策に役立てているでつ。
CSVファイルが実際の攻撃に使われているのを見たのはこれが初めてで、ある組織を狙って送られてきたCSVファイルに関する情報は、
IPAを通じて参加組織全体で共有されたでつ。
なお、どの業界・組織に送られてきたのか、何通送られてきたのかなどは非公開。
そのCSVファイルによる実害があったかどうかも明らかにはされていないでつ。
実際の攻撃に使われ始めたCSVファイル。今後も悪用される可能性は非常に高いでつ。
ただ、一般的なウイルス対策は通用しないでつ。
CSVファイルはテキストファイルであり、それ自体には悪質なプログラムは仕込まれていないので、ウイルス対策ソフトで検知するのは難しいでつ。
また、CSVファイルに書かれている関数を解釈して実行するというExcelの挙動は仕様に従ったものであり、脆弱性ではないでつ。
このため修正プログラム(パッチ)をきちんと適用していても防げないでつ。
だけど対策はあるでつ。
ExcelはCSVファイルに記述されたコマンドなどを実行する前に、警告ダイアログを表示するでつ。
ここで「無効にする」を選択すればコマンドなどは実行されないでつ。
初期設定では「無効にする」が指定されているので、警告ダイアログが表示された際にEnterキーを押せば無効になるでつ。
つまり、警告ダイアログが表示されたら、「無効にする」が指定された状態でEnterキーを押すことが、CSVファイルを使った攻撃の対策になるでつ。
逆に、「有効にする」を選択して進んでしまうと、コマンドが実行され、バックグラウンドでウイルスがダウンロードおよび実行されることになるでつ。
実際は、「有効にする」をクリックしてもすぐにはコマンドなどが実行されず、別の警告ダイアログが表示されることがほとんど。
だけど、最初の警告ダイアログで『有効にする』を選ぶようなユーザーは、その後のダイアログも誤った選択をする可能性が高いでつ。
ユーザーには、最初のダイアログが出た時点で『無効にする』を選択するよう周知徹底することが重要。
なお、危険なCSVファイルであっても、メモ帳などのテキストエディターで開く分には問題はないでつ。
悪質な関数が記述されていても、テキストエディターは関数を解釈せず、コマンドなどを実行しないことが重要でつなぁ~
だけど、セキリティソフトもいろいろと対策してくれるから、やっぱりセキリティはしっかりしたものを入れないといけないでつなぁ~
