パスワードを忘れた? アカウント作成
9539 story

WordとExcelの暗号化機能に脆弱性  57

ストーリー by Oliver
暗号の安全は鍵の機密性次第 部門より

Anonymous Coward曰く、"WordとExcelの暗号化機能に脆弱性が発見された。RC4暗号アルゴリズムの実装方法が正しくなかったことが発覚したもので、同じ文書の別々のバージョンの暗号化を行う場合、通常は異なる初期化ベクターを使うべきところで、同じベクターを用いて暗号化が行われており、1つの文書の複数のバージョンで暗号鍵が同じままといったケースが起こりえるという。この問題はシンガポールにあるInstitute of Infocomm Researchのホンジュン・ウー氏の調査により発覚した。ウー氏は新しい論文の「The Misuse of RC4 in Microsoft Word and Excel」[PDF]でこの問題について解説している。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ワードって (スコア:1, 興味深い)

    by Anonymous Coward on 2005年01月22日 10時25分 (#682646)
    変なんだよな、文章をセーブすると何故か登録者の名前が
    ファイルに組み込まれたり。造反者を見つける為の仕組みみたいで
    使いたくないワープロの1つ。

    #ワードで内部告白すると危険でっせ。
    #逆に言えば転がっているワードの文章を覗くと書いた人が分かる。
    • Re:ワードって (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2005年01月22日 10時43分 (#682652)
      私の知り合いの女性が、
      「徹夜で作った資料です」ってメール送ってきたんだけど、
      作成者の欄が男性名(私の知ってる人)でした。

      徹夜で…そうか、そういうことだったのかw

      まったく、ワードは危険ですな。
      親コメント
    • Re:ワードって (スコア:2, 参考になる)

      by kei100 (5854) on 2005年01月22日 15時58分 (#682772)
      参考までにそういった情報を削除する方法 [microsoft.com]をMSが公開してます。
      親コメント
      • by Anonymous Coward
        >参考までにそういった情報を削除する方法をMSが公開してます。

        うーん、そういうのを公開するなら初めから付けなければいいし
        方法じゃなくてオプションで付けるとかやり方があると思いますけど
        その辺頭が回らないのがmsなのかと....

        ことの始
        • Re:ワードって (スコア:2, 参考になる)

          by kei100 (5854) on 2005年01月22日 22時50分 (#682911)
          > うーん、そういうのを公開するなら初めから付けなければいいし
          > 方法じゃなくてオプションで付けるとかやり方があると思いますけど
          やはり、社内でドキュメントを共有するなら誰が作った、誰が変更したという情報は必須かもしれません。
          外部に配布しないでローカルに流通しているだけならここ誰が書き換えたんだよってのが解ると便利ですし。

          で・・・先ほど示したMicrosoftの技術情報 [microsoft.com]にもありますが、
          Office XP(含むWord 2002,Excel 2002...)からは、
          「ツール」>「オプション」>「セキュリティ」>「プライバシ オプション」>「ファイルを保存するとき個人情報を削除する」にチェックで出来ます。
          あと、保存画面で右上の「ツール」>「セキュリティ オプション」>「プライバシ オプション」>「ファイルを保存するとき個人情報を削除する」でも出来ます

          OSにWindowsXP(保障外ですが2000も可)で、OfficeXP/2003をお使いであれば、隠しデータの削除アドイン [microsoft.com](解説 [microsoft.com],既知の問題一覧 [microsoft.com])があります。
          こちらはバッチ処理も可能 [microsoft.com]なので便利かもしれません。

          以上参考になれば。
          親コメント
          • by redbrick (4865) on 2005年01月23日 16時30分 (#683170) 日記
            >やはり、社内でドキュメントを共有するなら誰が作った、誰が変更したという
            >情報は必須かもしれません。

            必須ですが、文面に書いていけない理由はないと思います。

            >外部に配布しないでローカルに流通しているだけなら
            >ここ誰が書き換えたんだよってのが解ると便利ですし。

            もちろん必須です。文面自体に書かない理由はないでしょう。
            #つか、作成者や修正者、更新履歴のない文書なんてのは、存在させちゃいけません。
            --
            ---- redbrick
            親コメント
            • by ninestars (5792) on 2005年01月23日 20時06分 (#683245) 日記
              >#つか、作成者や修正者、更新履歴のない文書なんてのは、存在させちゃいけません。 まぁ待て。それはドキュメントの管理に関してポリシーや規定のある企業での話だろ。 そういったモノのない企業も数多くある。 限定した状況を一般論に誇大解釈するべきではない。
              親コメント
    • by saitoh (10803) on 2005年01月22日 11時28分 (#682671)
      他人からもらったwordやexcelのスタイル設定/式設定を借りようと、安直に中身を全部消して別名でセーブして使っていると。。。。 作成者の名前は当初の人のままだったり。
      親コメント
    • Re:ワードって (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2005年01月22日 13時44分 (#682733)
      > #逆に言えば転がっているワードの文章を覗くと書いた人が分かる。
      雛形だけ作って、実際の内容はほかの人が作ってたり。
      ヘッダとかフッタがちょうどいい文書があったので、中身は全部消して新たに作り直してたり。

      現場での文書管理はそんなものです。
      親コメント
    • by Anonymous Coward
      そもそも、アプリケーションの登録名に 実名使ってないし。
  • by mizna (8774) on 2005年01月22日 14時07分 (#682741) 日記
    要するにWi-Fiが脆弱といわれているのと同じで、
    正しく実装すればRC4はそれなりに安全なブロック暗号です。

    確か
    ・周期以上の暗号化はしない
    ・同じ鍵は使わない
    ・RC4ストリームの先頭1024バイトは破棄
    とか。
    --
    "Stupid risks are what make life worth living!" -- Homer Simpson
  • by interkj (23877) on 2005年01月23日 2時53分 (#683004)
    PDFならともかく、Word, Excel ファイル自体にセキュリティを求める使い方を
    するようなシーンがあるんだろうか? 論文で例に出されているマルチユーザー
    環境で使うにしても、ファイル自身よりはACLなりEFSなり、ファイルシステム
    の機能で保護した方が楽なような気がするのだが…

    WordとExcelの暗号化手法に脆弱性 [itmedia.co.jp]
    Microsoft Officeにまつわる暗号化関連の話題 [atmarkit.co.jp](下の方のコラム)

    # そもそも Office にそんな機能は求めていないのでID
    • by kei100 (5854) on 2005年01月23日 8時00分 (#683036)
      ウィルスがばら撒いたりした時(Antinyだっけ?)に役立つかも。
      そのファイルを読み書きできるユーザー権限でウィルス等が稼動してしまえばACL/EFSは無力なわけで。
      未だ外部ストレージは大抵FAT/FAT32なので暗号化できないのもありますし。
      あとメールは平文ですからファイル自身に暗号化機能を持たせるのもありでしょう。
      (パスワードまで一緒に書いて送ってたら笑うしかありませんが・・)

      まぁ、そういったケースならPGPとか使えよって話ではありますが・・・
      安全対策は二重三重にする意味はあるでしょう。
      厳しくしたり、面倒になりすぎて守らない人が出ない程度には。
      親コメント
    • うちの会社(システム開発系)では以前、内部情報保護のためメールに添付するExcelファイルの重要なシートは(この機能で)暗号化します、と通知されましたが何か?

      #「(社員用の)パスワード何だっけ?」「xxだよ
      • 本題とズレた所にレスをつけると

        その情報が、どれだけクリティカルか考えず派遣の
        前で口外してしまうというのも問題だけど、
        そういう場所に派遣がいることを、肯定している人事判断に
        すでに問題があるような気がしますね。

        社内秘で扱うべきところを、派遣の目や耳に触れる事を承知し
  • by Anonymous Coward on 2005年01月22日 7時05分 (#682596)
    複数の間違いかしら。
  • by Anonymous Coward on 2005年01月22日 13時24分 (#682722)
    WordやExcelにそんな隠しコマンドがあったなんて知りませんでした。
    どうやったら出せるんでしょう?
    「Ctrl+Alt+Insert+マウス右クリック」とかですか?
    「上上右下左上+A+Bボタン連打」とかですか?
  • by Anonymous Coward on 2005年01月22日 22時19分 (#682903)
    ウイルスの温床ソフトは使いませんので...。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...