PR

 マイクロソフトは2007年5月22日、Microsoft Office 2003の文書ファイルを、Office 2007のOpen XML形式に変換するツール「Microsoft Office Isolated Conversion Environment(MOICE)」を公開した(セキュリティアドバイザリ)。同ツールを使えば、Office 2003の文書ファイルに仕込まれた危険なプログラムを除去できる。「サポート技術情報 935865」のページなどから入手可能。

 従来、Microsoft Officeのファイル形式には、通常のテキストファイル形式ではなく、独自のバイナリーファイル形式が採用されている。このため攻撃者は、Officeの文書ファイル中に、同製品のぜい弱性を悪用するようなプログラムを埋め込むことが可能だった。新版のOffice 2007では、XMLベース、すなわちテキストべースのOpen XML形式を採用したので、従来の方法で攻撃プログラムを埋め込むことはできなくなった。つまり、Open XML形式の採用により、セキュリティが高まった。

 MOICEは、Office 2003の文書ファイルをOpen XML形式に変換することで、バイナリーファイル形式で埋め込まれた攻撃プログラムを除去しようというツール。MOICEを利用することで、攻撃プログラムが仕込まれた危険なOffice文書を無害化できる。

 変換後の文書ファイルはOpen XML形式なので、そのままではOffice 2003で読み込めない。この形式のファイルを読み込むには、Office 2003に「Word/Excel/PowerPoint 2007 ファイル形式用Microsoft Office 互換機能パック」をインストールしておく必要がある。

 なお、「Microsoft Office 互換機能パック」はOffice 2000とOffice XPにも対応しているものの、MOICEは未対応。MOICEは、Office 2003あるいはOffice 2007をインストールしている環境でのみ利用可能。

 同日マイクロソフトは、「Office向けファイルブロック機能」も公開した。これは、特定種類のファイル(例えば、docやxls)を開けないように設定できる機能。攻撃プログラムが仕込まれたファイルが出現した場合に、企業のシステム管理者などがユーザーのパソコンに対してOffice向けファイルブロック機能を適用することで、一時的に危険から隔離できる。Office 2003では、更新プログラムを適用すれば、ファイルブロック機能を利用できる(詳細は、サポート技術情報 922849922848922847を参照)。Office 2007は標準で同機能を備えているが、初期設定では無効。