動的データ交換 (DDE) フィールドを含む Microsoft Office ドキュメントを安全に開く
概要
このセキュリティ アドバイザリの記事では、Microsoft Office アプリケーションのセキュリティ設定に関する情報を提供します。 動的データ交換 (DDE) フィールドを処理するときにこれらのアプリケーションが適切にセキュリティで保護されるようにするために、ユーザーができることに関するガイダンスを提供します。
動的データ交換について
Microsoft Office には、アプリケーション間でデータを転送するためのいくつかの方法が用意されています。 DDE プロトコルは、メッセージとガイドラインのセットです。 データを共有するアプリケーション間でメッセージを送信し、共有メモリを使用してアプリケーション間でデータを交換します。 アプリケーションは、1 回限りのデータ転送や、新しいデータが使用可能になったときにアプリケーションが相互に更新を送信する継続的な交換に DDE プロトコルを使用できます。
シナリオ
電子メール攻撃のシナリオでは、攻撃者は特別に細工されたファイルをユーザーに送信し、通常は電子メールの魅力的な方法でファイルを開くようユーザーに誘導することで、DDE プロトコルを使用する可能性があります。 攻撃者は、保護モードを無効にし、1 つ以上の追加のプロンプトをクリックするようにユーザーを誘導する必要があります。 電子メールの添付ファイルは、攻撃者がマルウェアの拡散に使用する主な方法であり、不審な添付ファイルを開くときに注意を払うことを強くお勧めします。
DDE 特徴制御キー
Microsoft Office には、レジストリに格納されているいくつかの機能制御キーが用意されており、製品の機能の変更、業界標準のサポートの強化、セキュリティの向上を担当します。 Microsoft では、これらの機能制御キーを文書化しており、セキュリティ上の理由から特定の機能制御キーを有効にすることをお勧めします。 詳細については、「 Office 2016 へのアクセスのセキュリティ保護と制御」を参照してください。
Microsoft では、Microsoft Office のすべてのユーザーに対して、セキュリティ関連の機能制御キーを確認し、有効にすることを強くお勧めします。 次のセクションで説明するレジストリ キーを設定すると、リンクされたフィールドからのデータの自動更新が無効になります。
DDE 攻撃シナリオの軽減
直ちにアクションを実行するユーザーは、Microsoft Office のレジストリ エントリを手動で作成して設定することで、自分自身を保護できます。 システムにインストールされている Office アプリケーションに基づいてレジストリ キーを設定するには、次の手順に従います。
警告
レジストリ エディターを誤って使用すると、オペレーティング システムの再インストールが必要になる重大な問題が発生する可能性があります。 マイクロソフトは、レジストリ エディターの誤用により発生した問題に関しては、一切責任を負わないものとします。 レジストリ エディターは、自己の責任においてご使用ください。
Microsoft Excel
Excel は、ドキュメントを起動する DDE 機能に依存します。
Excel からのリンクの自動更新 (DDE、OLE、外部セルまたは定義済みの名前参照を含む) を防ぐには、バージョンごとに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン | レジストリ キー <のバージョン> 文字列 |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
ユーザー インターフェイスから DDE 機能を無効にするには:
[ファイル>オプション>] [セキュリティ センターセキュリティ センター>の設定] [外部コンテンツ] > に移動し、[ブック リンク] のセキュリティ設定を [ブック リンクの自動更新を無効にする] に設定します。
レジストリ エディターを使用して DDE 機能を無効にするには、次のレジストリ キーを追加します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
名前: WorkbookLinkWarnings
値の種類: DWORD
値: 2
注:
軽減策の影響:
この機能を無効にすると、レジストリで無効になっている場合、Excel スプレッドシートが動的に更新されるのを防ぐことができます。 ライブ フィードを介して自動的に更新されなくなったため、データが完全に最新ではない可能性があります。 ワークシートを更新するには、ユーザーがフィードを手動で開始する必要があります。 さらに、ユーザーは、ワークシートを手動で更新するように促すプロンプトを受け取りません。
Microsoft Outlook
各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン | レジストリ キー <のバージョン> 文字列 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Office 2010 以降のバージョンでは、レジストリ エディターを使用して DDE 機能を無効にするには、次のレジストリ キーを追加します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
名前: DontUpdateLinks
型: DWORD
値: 1Office 2007 の場合、レジストリ エディターを使用して DDE 機能を無効にするには、次のレジストリ キーを追加します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
名前: fNoCalclinksOnopen_90_1
型: DWORD
値: 1
注:
軽減策の影響:
このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] を選択することで、引き続き更新を有効にすることができます。
Microsoft Publisher
パブリッシャー ドキュメント内に埋め込まれた DDE プロトコルを使用するWordドキュメントは、攻撃ベクトルの可能性があります。 Wordレジストリ キーの変更を適用することで、この攻撃ベクトルを防ぐことができます。 Wordレジストリ キーの値については、次のセクションを参照してください。
Microsoft Word
各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。
| Office バージョン** | レジストリ キー <のバージョン> 文字列 |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Office 2010 以降のバージョンでは、レジストリ エディターを使用して DDE 機能を無効にするには、次のレジストリ キーを追加します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
名前: DontUpdateLinks
型: DWORD
値: 1Office 2007 の場合、レジストリ エディターを使用して DDE 機能を無効にするには、次のレジストリ キーを追加します。
場所:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
名前: fNoCalclinksOnopen_90_1
型: DWORD
値: 1
注:
軽減策の影響:
このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] を選択することで、引き続き更新を有効にすることができます。
Fall Creator Update Windows 10について (バージョン 1709)
Windows 10 Fall Creator Update のユーザーは、Windows Defender Exploit Guard を使用して、攻撃サーフェスリダクション (ASR) を使用して DDE ベースのマルウェアをブロックできます。
攻撃面の縮小は、Windows Defender Exploit Guard 内のコンポーネントであり、企業に組み込みのインテリジェンスのセットを提供します。これにより、悪意のあるドキュメントによって使用される基になる動作をブロックして、製品の操作を妨げずに攻撃を実行できます。 脅威や悪用とは無関係に悪意のある動作をブロックすることで、ASR は、最近検出された脆弱性 (CVE-2017-8759、CVE-2017-11292、CVE-2017-11826) のような、これまでに見たことのないゼロデイ攻撃から企業を保護できます。
Office アプリの場合、ASR では次のことができます。
- Office アプリによる実行可能コンテンツの作成をブロックする
- Office アプリの子プロセスの起動をブロックする
- Office アプリのプロセスへの挿入をブロックする
- Office のマクロ コードからの Win32 インポートをブロックする
- 難読化されたマクロ コードをブロックする
DDEDownloader のような新たな悪用は、PowerShell ダウンローダーを実行するために、Office ドキュメントの動的データ交換 (DDE) ポップアップを使用します。ただし、その際に、対応する子プロセスルールがブロックする子プロセスを起動します。
Exploit Guard Windows Defenderの詳細については、「Exploit Guard のWindows Defender: 次世代マルウェアに対する攻撃対象を減らす」を参照してください。
Microsoft はこの問題をさらに調査しており、情報が利用可能になったときに、この記事の詳細情報を投稿します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示