Microsoft セキュリティ アドバイザリ 4053440

動的データ交換 (DDE) フィールドを含む Microsoft Office ドキュメントを安全に開く

公開日: 2017 年 11 月 8 日 |更新日: 2018 年 1 月 9 日

バージョン: 3.0

概要

Microsoft は、Microsoft Office アプリケーションのセキュリティ設定に関する情報を提供するために、このセキュリティ アドバイザリをリリースしています。 このアドバイザリでは、動的データ交換 (DDE) フィールドを処理するときにこれらのアプリケーションが適切にセキュリティで保護されるようにするために、ユーザーができることに関するガイダンスを提供します。

動的データ交換について

Microsoft Office には、アプリケーション間でデータを転送するためのいくつかの方法が用意されています。 DDE プロトコルは、一連のメッセージとガイドラインです。 データを共有するアプリケーション間でメッセージを送信し、共有メモリを使用してアプリケーション間でデータを交換します。 アプリケーションでは、DDE プロトコルを使用して、1 回限りのデータ転送や、新しいデータが使用可能になったときにアプリケーションが相互に更新を送信する継続的な交換を行うことができます。

シナリオ

電子メール攻撃のシナリオでは、攻撃者は、特別に細工されたファイルをユーザーに送信し、通常は電子メールで魅力的な方法でファイルを開くようユーザーに誘導することで、DDE プロトコルを利用する可能性があります。 攻撃者は、保護モードを無効にし、1 つ以上の追加プロンプトをクリックするようにユーザーを誘導する必要があります。 電子メールの添付ファイルは、攻撃者がマルウェアを拡散するために使用できる主な方法です。Microsoft では、疑わしい添付ファイルを開くときに注意を払うことを強くお勧めします。

DDE 機能コントロール キー

Microsoft Office には、レジストリに格納され、製品の機能の変更、業界標準のサポートの向上、セキュリティの向上を担当する機能コントロール キーがいくつか用意されています。 Microsoft はこれらの機能コントロール キーを文書化しており、セキュリティ上の理由から特定の機能コントロール キーを有効にすることをお勧めします。 以下を参照してください。

Microsoft では、Microsoft Office のすべてのユーザーに対して、セキュリティ関連の機能コントロール キーを確認し、有効にすることを強くお勧めします。 次のセクションで説明するレジストリ キーを設定すると、リンクされたフィールドからのデータの自動更新が無効になります。

更新2017 年 12 月 12 日、Microsoft は、サポートされているすべてのエディションの Microsoft Word の更新プログラムをリリースしました。これにより、ユーザーは環境に基づいて DDE プロトコルの機能を設定できます。 詳細と更新プログラムのダウンロードについては、「 ADV170021」を参照してください。

更新 2018 年 1 月 9 日、Microsoft は、サポートされているすべてのエディションの Microsoft Excel の更新プログラムをリリースしました。これにより、ユーザーは環境に基づいて DDE プロトコルの機能を設定できます。 詳細と更新プログラムのダウンロードについては、「 ADV170021」を参照してください。

DDE 攻撃シナリオの軽減

直ちにアクションを実行するユーザーは、Microsoft Office のレジストリ エントリを手動で作成して設定することで、自分自身を保護できます。 システムにインストールされている Office アプリケーションに基づいてレジストリ キーを設定するには、次の手順に従います。

警告: レジストリ エディターを誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディタの誤使用によって生じた問題をユーザー自身が解決できるとは保証できません。 問題が発生する可能性のあることを十分に認識したうえで利用してください。

レジストリ エントリを変更する前に、レジストリをバックアップすることをお勧めします。

Microsoft Excel

Excel は、ドキュメントを起動する DDE 機能に依存します。

Excel からのリンク (DDE、OLE、および外部セルまたは定義された名前参照を含む) が自動更新されないようにするには、バージョンごとに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。

Office バージョン レジストリ キー <のバージョン> 文字列
Office 2007 12.0
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • ユーザー インターフェイスを使用して DDE 機能を無効にするには:
    ブック リンクの File-Options-Trust>> Center-Trust> Center の設定...->External Content-Security> 設定を設定する = ブック リンクの自動更新を無効にします。
  • レジストリ エディターを使用して DDE 機能を無効にするには:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

軽減策の影響: この機能を無効にすると、レジストリで無効になっている場合、Excel スプレッドシートが動的に更新できなくなる可能性があります。 データはライブ フィードを介して自動的に更新されなくなったため、完全に最新ではない可能性があります。 ワークシートを更新するには、ユーザーがフィードを手動で開始する必要があります。 さらに、ユーザーは、ワークシートを手動で更新するように促すプロンプトを受け取りません。

Microsoft Outlook

各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。

Office バージョン レジストリ キー </バージョン> 文字列
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • Office 2010 以降のバージョンの場合は、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options\WordMail]
 DontUpdateLinks(DWORD)=1
  • Office 2007 の場合、レジストリ エディターを使用して DDE 機能を無効にするには、次の手順を実行します。
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

軽減策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] をクリックすることで、引き続き更新を有効にすることができます。

Microsoft Publisher

Publisher ドキュメント内に埋め込まれている DDE プロトコルを使用するWord ドキュメントは、攻撃ベクトルの可能性があります。 Wordレジストリ キーの変更を適用することで、この攻撃ベクトルを防ぐことができます。 Wordレジストリ キーの値については、次のセクションを参照してください。

Microsoft Word

ユーザー環境に基づいて DDE プロトコルの機能を設定できるようにする Microsoft Wordの更新プログラムについては、「ADV170021」を参照してください。

各 Office バージョンに設定するレジストリ キーのバージョン文字列については、次の表を参照してください。

Office バージョン レジストリ キー </バージョン> 文字列
Office 2010 14.0
Office 2013 15.0
Office 2016 16.0
  • Office 2010 以降のバージョンの場合は、レジストリ エディターを使用して DDE 機能を無効にします。
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options]
DontUpdateLinks(DWORD)=1
  • Office 2007 の場合、レジストリ エディターを使用して DDE 機能を無効にするには、次の手順を実行します。
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

軽減策の影響: このレジストリ キーを設定すると、DDE フィールドと OLE リンクの自動更新が無効になります。 ユーザーは、フィールドを右クリックして [フィールドの更新] をクリックすることで、引き続き更新を有効にすることができます。

Windows 10 Fall Creators Update (バージョン 1709)

Windows 10 Fall Creators Updateのユーザーは、Windows Defender Exploit Guard を利用して、攻撃面の減少 (ASR) ルールを使用して DDE ベースのマルウェアをブロックできます。

ASR は、Windows Defender Exploit Guard 内のコンポーネントであり、企業に組み込みインテリジェンスのセットを提供します。このインテリジェンスは、悪意のあるドキュメントによって使用される基になる動作をブロックして、製品の操作を妨げることなく攻撃を実行できます。 ASR は、脅威や悪用とは無関係に悪意のある動作をブロックすることで、最近検出された脆弱性 CVE-2017-8759、CVE-2017-11292CVE-2017-11826 のような、これまでに見たことのないゼロデイ攻撃から企業を保護できます。

Office アプリの場合、ASR では次のことができます。

  • Office アプリによる実行可能コンテンツの作成をブロックする
  • Office アプリの子プロセスの起動をブロックする
  • Office アプリのプロセスへの挿入をブロックする
  • Office でマクロ コードからの Win32 インポートをブロックする
  • 難読化されたマクロ コードをブロックする

DDEDownloader のような新たな悪用は、PowerShell ダウンローダーを実行するために、Office ドキュメントの動的データ交換 (DDE) ポップアップを使用します。ただし、その場合、対応する子プロセス ルールによってブロックされる子プロセスが起動されます。

Windows Defender Exploit Guard を Windows Defender Advanced Threat Protection (ATP) と共に使用して、エンタープライズ レベルのセキュリティリスクと問題を調査して対応できます。 Windows Defender Exploit Guard とWindows Defender ATP の詳細については、次を参照してください。

Microsoft はこの問題をさらに調査しており、情報が利用可能になったときにこの記事の詳細情報を投稿します。

その他の推奨アクション

  • PC を保護する
    引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する「コンピューターの保護」ガイダンスに従うことをお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。
  • Microsoft ソフトウェアの更新を維持する
    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

その他の情報

免責情報

本アドバイザリで提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2017 年 11 月 8 日): アドバイザリが公開されました。
  • V1.1 (2017 年 11 月 30 日): 攻撃面の減少 (ASR) ルールの詳細を含むWindows 10 Fall Creators Update セクションを更新しました。 これは情報の変更のみです。
  • V2.0 (2017 年 12 月 12 日): Microsoft は、サポートされているすべてのエディションの Microsoft Word の更新プログラムをリリースしました。これにより、ユーザーは自分の環境に基づいて DDE プロトコルの機能を設定できます。 詳細と更新プログラムのダウンロードについては、「 ADV170021」を参照してください。
  • V3.0 (2018 年 1 月 9 日): Microsoft は、サポートされているすべてのエディションの Microsoft Excel の更新プログラムをリリースしました。これにより、ユーザーは環境に基づいて DDE プロトコルの機能を設定できます。 詳細と更新プログラムのダウンロードについては、「 ADV170021」を参照してください。