（注: Office97 SR-1以降、本原稿執筆時点）

プログラム起動

マクロ機能を使用せずにExcelワークシート等からプログラムを起動するタイプのセキュリティ問題

マクロ警告回避

ExcelやWordの「マクロ警告機能」を回避するタイプのセキュリティ問題

その他

Webアクセス等によって内部情報が漏洩する、あるいはWebからOfficeファイルをダウンロードする際に自動的にオープンしてしまうなど

1. VBA Shell問題
   　VBA Shell問題は、データベースクエリ（検索）の際にOSのコマンドを指定することで、クエリ実行時に任意のプログラムを起動することができるというもの。例えばSQL文に次のような記述を行なうことが可能である。
   
   SELECT Shell("cmd.exe") FROM テーブル名
   　この機能自体は仕様であり使い方によっては非常に便利であるものの、Officeドキュメント中で不正に悪用された場合、ユーザのマシン上で破壊的な行為を行なうことも可能となってしまう。前述のCALL問題同様、これはマクロではないためOffice製品のマクロ警告機能で事前に検知することはできない。またこの問題を利用したデモンストレーションExcelファイルがインターネットで公開されている ため、それをベースにして攻撃的なExcelワークシートが今後電子メール等でばら撒かれる危険性もある。
   
   
   図3 VBA Shell問題のデモ実行例。
   Excelワークシートオープン時にFTP接続を自動実行するとともに、regeditを起動
   
   
2. Text I-ISAM問題
   　Text I-ISAM問題は、クエリ実行時に既存のファイルに書き込みができてしまうというもの。この機能は通常、他のアプリケーションとテキストファイルを経由してデータ交換を行なったりする目的で使用されるが、システムファイルを含む全てのテキストファイルに対して書き込める（もちろんそのユーザのアクセス権に依存）ため、今回問題となった。
   　これらのOffice ODBC問題（正確にはJetの問題）について、マイクロソフトは詳細なセキュリティ情報とともに修正モジュールを提供している。修正モジュールは1999年8月に一度リリースされたが、10月にアップデート版が再リリースされているので、古い修正モジュールしか適用していない場合は新しいものを再適用した方が良い。修正モジュールの適用により、VBA Shell問題については安全でないVBA関数を使用したクエリが発行できなくなり、Text I-ISAM問題については.batや.cmdといった拡張子を持つテキストファイルに書き込むことができなくなる。
   

図4 Word97のマクロ警告ダイアログ。

1. Word97プリント問題
   エクスプローラからWord97ドキュメントファイルを選択し、右クリックで直接「印刷」を実行した場合、マクロ警告機能が回避される。この問題については、筆者の知る限り修正モジュールは提供されていない。
2. Word97テンプレート問題
   テンプレートにマクロが含まれるようなWord97ドキュメントを開いた場合、マクロ警告機能が回避される。修正モジュール有り。
3. Excel97 XLSTART問題
   XLSTARTディレクトリ（Excelのスタートアップディレクトリ）にあるExcelファイルについては、マクロ警告機能が働かない。マイクロソフトの技術文書によると、これは仕様である。すなわちこのディレクトリの中にあるファイルは信頼できるものだという前提に立っている。
4. Excel97パスワード問題
   パスワードで保護されたExcelファイルをパスワード入力して開いた場合、マクロ警告機能が働かない。修正モジュール有り。
5. Excel SYLK問題
   SYLK（シンボリックリンク）フォーマットで保存されたマクロを含むExcelファイルを開いた場合、マクロ警告機能が働かない。現時点では英語版のみ修正モジュール有り。この修正モジュールは、マクロを含むサードパーティの表計算ソフト（ロータス1-2-3等）文書ファイルをExcelにインポートした際に、同様にマクロ警告機能が働かない問題にも対応している。

1. Forms2.0コントロール問題
   これは「クリップボード・ペースト問題」とも呼ばれている。Office製品に含まれるForms2.0コントロールを利用し、Webページ等においてユーザのコンピュータ上のクリップボードデータを不正に取得されてしまうというもの。修正モジュール有り。
2. ダウンロード自動オープン問題
   Office97をインストールした際、デフォルトの状態では多くのドキュメント種類について、「ダウンロード時に開く確認をする」ようには設定されない。そのため、Internet ExplorerでWeb上にあるOfficeドキュメントを指定した際に、警告メッセージが表示されずにOfficeアプリケーションが起動してそのファイルを読み込んでしまう。不正なマクロなどがWeb上のOfficeドキュメントに記述されている場合、このデフォルト設定は非常に危険である。どのドキュメントタイプがそのように設定されているかは、エクスプローラで「表示」メニューを選び、「オプション」の「ファイルタイプ」を指定、目的のファイルタイプを選択して「編集」ボタンをクリックすれば確認できる。
   
   
   図5 Word97のファイルタイプの設定。
   「ダウンロード時に開く確認をする」がOFFになっている。
   
   マイクロソフトはOffice97製品のこれらのデフォルト設定を「ダウンロード時に開く確認をする」ように変更するツールを提供している。なお、このツールは前述のODBC問題の修正モジュールにも含まれている。
3. Access97パスワード問題
   Access97はユーザがデータベースをパスワードで保護した場合、パスワードを一定の法則でエンコードしてデータベースファイル中に保存するが、このパスワードを平文に戻すプログラムがインターネット上で公開されている。そのため、パスワードで保護されたAccess97データベースは不正にアクセスされる危険性が高い。
4. Outlook98バッファオーバーフロー問題
   この問題は、Outlook98およびOutlook Express4.0xで非常に長いファイル名のファイルが添付された電子メールやニューズ記事をダウンロードもしくは開いた際に、バッファオーバーフローによってプログラムが異常終了するというものである。場合によっては別のプログラムを起動させられてしまう危険性を併せ持つ。修正モジュール有り。