76
リンク 日経 xTECH(クロステック) 483 users 1029 覆された常識、CSVファイルでウイルス感染 テキストファイルは開いても安全――。情報セキュリティの常識だ。テキストファイルにはウイルスを仕込めない。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。
Excelで開くから…という声
@zu2
“CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はない。だが、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作する” / “覆された常識、CSVファイルでウイ…” htn.to/2LbjUWy8dC
Saki @kanosaki
Excelで開くのが問題なんだよなぁ "覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)" tech.nikkeibp.co.jp/atcl/nxt/colum…
n-yoshi @laresjp
csvファイルを表計算ソフトで開くという仕様が、そもそも危険だってコト。まあ、その通りだよな。 『 覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック) tech.nikkeibp.co.jp/atcl/nxt/colum…
yoshiji kosaka @lvnkae
Excelの脆弱性をcsvフォーマットのせいにされてもなぁ… / 覆された常識、CSVファイルでウイルス感染 tech.nikkeibp.co.jp/atcl/nxt/colum…
地元密着なび新谷貴司(パゴちゃん応援中) @localnavi
「CSVファイルに関数を書き込んだら勝手に実行するエクセルの問題だ」と言えばそうなんだけど、エクセルをインスコしたらCSVファイルと勝手に関連付けられるし、ああ、視認性に富んだCSVビューアがほしい。 / “覆された常識、CSV…” htn.to/VRzZM
まず「テキストファイルなら安全」は間違い
ponge @ponge
それcsvのファイル形式が危ないって言うの?/『CSVファイルの中にはテキストの情報しかない。 』batファイルも中はテキストの情報しかないと思うけど… / “覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(ク…” htn.to/AK66ZFPf7F
Kazuo Moriwaka @moriwaka
覆された常識、CSVファイルでウイルス感染 tech.nikkeibp.co.jp/atcl/nxt/colum… "テキストファイルは開いても安全――。情報セキュリティの常識だ。" なんだそれ。俺の知らない世界の常識かな……?? 記事はwindows想定っぽいから.batとか.ps1とか開いて死ぬのかなこの人……。
いわもと こういち @ttdoda
「テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。」 - テキストファイルをcatで表示したらコマンドを実行してしまうって脆弱性が大昔に色んな端末エミュレータで見つかった事があってだな tech.nikkeibp.co.jp/atcl/nxt/colum…
一番の脆弱性はやはり人間なのでは…。
veda @otasam
覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック) _φ(・_・ 「CSVで関数を記述→EXCELで実行」という流れによるものらしい。添付ファイルは拡張子に依らず開かない分別が必要だ tech.nikkeibp.co.jp/atcl/nxt/colum…
Yuji Yamamoto: 山本悠滋 @igrep
docmやxlsmみたいな形式に気をつけろよ、としか言われてない人は確かに陥りそうだ。ところでこの記事が書かれているHTMLファイルもテキストファイルだけど十分危険なんでそれも覚えておいていただきたい。 / “覆された常識、CS…” htn.to/2ATjV3d
mohno @mohno
「ExcelはCSVファイルに記述されたコマンドなどを実行する前に、Excelは警告ダイアログを表示する」←だよな。「最初の警告ダイアログで『有効にする』を選ぶようなユーザー」←オイコラ、って話だと思うが。 / “覆された常識、…” htn.to/9VwCg6ZccX
つりーべる @tada_suzu
一応警告はしてくれてて、初期ボタンは無効にするってなってるらしいのでEnter連打しても被害はなさそうなのか。しかしよく考えるなぁ / “覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)” htn.to/WyEHUC
longroof @longroofitter
そう「CSVファイルごとき」のトラブルだってこれから初めて遭遇する人たちがいるからね(´;ω;`)…なにごとにもせんだつはあらまほしきことかな… / “覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステッ…” htn.to/J3XJdM
むしろ便利では?という声
FUJI Goro @__gfx__
“CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はない。だが、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作する" / 便利じゃん。 / “覆された常識、C…” htn.to/jUxW8YH
yancya @yancya
むしろ、CSV に書いた関数が動かせるの便利では?と思ってしまった...... / “覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)” htn.to/HhZXgGr
Kazuho Oku @kazuho
マンション名をExcel関数の名前にしておいたら、名簿.csv 開いた際に面白いことになるのか #やっちゃダメ / “覆された常識、CSVファイルでウイルス感染 | 日経 xTECH(クロステック)” htn.to/LnfM8N

コメント

Destroyer Rock @hondapoint 2018年5月30日
「001,002,003」のCSVファイルをEXCELで開くと「1,2,3」になってしまうのはバグと個人的には思っている。
east @1963_east 2018年5月30日
hondapoint 確かにセルの表示形式変えればどうにかなるものの、めんどくさいよね
せんたく @senn_taku 2018年5月30日
1234567890123456→1234567890123450
せんたく @senn_taku 2018年5月30日
ExcelとWordの「気を利かせときました!」みたいな処理とか「ここ間違ってますぜ!」みたいな波線には心底ウンザリさせられる
夢乃 @iamdreamers 2018年5月30日
本文中の最初の表題、Exel になってるよっ・・・はっ、まさか、感染したから・・・か?! .
yuki🌾4さい⚔ @yuki_obana 2018年5月30日
下っ端には関係のない話。いいからファイル開いて定形処理30秒で終わらせろよ(´・ω・`)(なお全自動化は可能なはずだが絶対にしないマンが上層部に固まってる模様でピークタイムはオーバーフローするので必然的にRTAじみてくるとこ多いよね
きゃっつ(Kats)⊿6/9乃木坂スペイベ @grayengineer 2018年5月30日
Excelで開いても「なんかプログラム動くけどやっちゃう?」って聞いてくるから気がつくでしょ
roostarz @roostarz 2018年5月30日
結局のところは『出所の怪しいファイルは気軽に開かない』これに尽きるのでは?
@izanamu 2018年5月30日
html形式なら安全ですね
mlnkanljnm0 @kis_uzu 2018年5月30日
エクセルの関数に外部コマンドを実行できるやつなんてあったんだ……知らなかった。
たし @punimuchiya 2018年5月30日
危険なのはファイルそのものではなくファイルを開いた際のアプリケーションの挙動であり、その挙動においてより深層のOSリソースにどれだけアクセス権が与えられてしまっているかが危険度を決める。つまるところこの手の脆弱性はリングプロテクションを軽く扱ったアプリケーションの罪なのだ
佐吉 @sakichi01 2018年5月30日
CSVの関連付けをテキストエディタにしとけって話。
杢丸 @mokumaru_NOP 2018年5月30日
(マイクロソフトの)小さな親切大きなお世話とはよく言ったもんで... あと、テキストファイルが安全なのはテキストデータとして扱ってる場合限定でしてねぇ。
Daregada @daichi14657 2018年5月30日
csvとかタブ区切りとかのデータを、通常のカンマやタブの解釈ではなく、より見やすく表示してくれるモードを持ったテキストエディタを使うといい
ビッター @domtrop0083 2018年5月30日
エクセルの「気を利かせて無断でこっちでやっておきました」みたいな機能って、たまに殺意がわくよな。
クリスセドン @sedooooooon 2018年5月30日
Excel「先頭の0消しといたで!」
白鷺 @helsigh 2018年5月30日
grayengineer 人によっては「なんでもいいから実行しとけや」って設定にしたりしてるから一概に言えないです…
Tsuyoshi CHO @tsuyoshi_cho 2018年5月30日
これはどうかはともかく、Excelとかは1-2-3の互換とか古い仕様をまもってるせいもあるかもなあ
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2018年5月30日
roostarz まあ、送るほうは「怪しくないところから送られたように見せかける」んですけどね。
佐藤裕也 @satoyuyapyaa 2018年5月30日
「csvファイルは危険」っていうのはちょっと言い過ぎというか、「コンマ(,)で区切られたテキストデータは危険!」っていうのはちょっとアホらしいな。この場合危険なのはcsvというファイル形式じゃなくexcelのほうだろ。
風祭司 @whoxi4 2018年5月30日
関係ないけど、Excelは1桁標準有効桁数を増やすべき(JANコード管理的な意味で)
ぷりん @printai100 2018年5月30日
vlookupで参照して取ってくる先をデータベースにしたいんだけど出来ないのかなぁと調べてる。
denev @_denev_ 2018年5月31日
csvファイルはテキストファイルじゃないっつーの。単にテキストエディタでも開けるというだけ。
ですの @_desuno_ 2018年5月31日
テキストエディタで使えるファイルが安全ならバッチなりスクリプトなりが猛威をふるうことはないんだ…
ヘルヴォルト @hervort 2018年5月31日
関数を勝手に動作させないソフトで開けば安全だな
みずいろ @MizuiroFolder 2018年5月31日
TSVなら安全ですか?(タブ区切りテキスト派)
あごにー @Agony_01 2018年5月31日
エクセルで開かれで電話番号の項目を何度ぶっ壊されたことか・・・ CSVファイルは専用リーダー入れたほうがいいって早く浸透してほしい
Daregada @daichi14657 2018年5月31日
最近のExcel (2016を更新したものなど)では、csvファイルのダブルクリックではなく、データタブの「テキストまたはCSVから」ボタンでCSVファイルをインポートがオススメ。作業の途中で起動する「クエリエディター」って画面で、各列のデータ型を(例えば電話番号を文字列に)変更したり、使わない行・列を削除したり、その他諸々のデータ加工をワークシートに読み込む前にできるから
かつま大佐(対象年齢10歳) @kamiomutsu 2018年5月31日
*.txtをメモ帳アプリに関連づけているのだから、MSは是非*.csvを関連づける使いやすいcsvビューワーを開発して標準にしてほしい。(欧州で叩かれそう)
空家の恵比寿様1968 @ebcdic_ascii 2018年5月31日
senn_taku 「えーと、日付は『5/31』っと・・・」→Excel「5月31日」→イラッ
想 詩拓@文芸サークル『文机』 @sou_sitaku 2018年5月31日
Excelでゼロ落ちを嘆く方へ。 >ExcelでCSVファイルが正しく読み込まれないのを回避したい(社員番号の0落ちなど) - SmartHR ヘルプセンター https://smarthr.jp/help/etc/217
not rogue @not_rogue 2018年5月31日
やはりEmacsこそ最善の選択肢である。Emacsを讃えよ
Daregada @daichi14657 2018年5月31日
sou_sitaku ええと、リンク先で紹介されている「テキストウィザード」が廃止されて(オプション設定によりレガシー表記付きで復活可能)、先に紹介したクエリーに変わったんですよ
maguro @vo_ov_maguro 2018年5月31日
daichi14657 どっちもめんどくせー ダブルクリックで開いただけで、データ改変すな!
Daregada @daichi14657 2018年5月31日
vo_ov_maguro Excelでcsvファイルを開いてワークシートに表示するってことは、元のデータをExcelのデータ形式に変換することと同義なので。それがいやなら、テキストエディタに関連付ければいいんじゃない?
魔法幼女きりさめ☆あるみ @U_Al_G 2018年5月31日
ExcelはCSVに対しては余計なことしかしないのでウイルス云々以前にExcelで直接開いてはいけません
BABA Motoharu @calc3 2018年5月31日
roostarz 最近は偽垢で一ヶ月くらいやり取りして安心させてからおもむろにウィルス付ファイルを開かせたりするので出所が怪しくない場合(主観)でも危険だというね…
Ling-mu @Ling_mu 2018年5月31日
文字コードを無視してShift JISとして読み込む仕様はなんとかならんかなぁと思う。 まあ、テキストエディタで開いてるけど。
Dilettantist @86C805i 2018年5月31日
Windowsをセットアップしたらhtmlとcsvの関連付けをテキストエディターに変更するようにしている。20年前から。
なちゃ @nachakey 2018年5月31日
ところでみんな納得おすすめのCSVエディタというかビューアって何かあるのかな。 昔いろいろ探したけどけっきょくこれだというのはいまいち見つけられなかった。
夢乃 @iamdreamers 2018年5月31日
nachakey 私、これ《Cassava Editor https://www.asukaze.net/soft/cassava/ 》使ってた。最近はCSVを扱うことがほとんどなくて、全然使ってないけど。(探したということは、これも既にご存知かもしれないけど(-_-))
カリラ @caolilarz 2018年5月31日
様々なファイルタイプに対して 「XXを開くときはYYで」 なんて一般人が覚えきれるわけないし、 CSVはExcelが勝手に関連付けしようとするから無理も無いだろ。 「パソコンに詳しいオレ様」がマウント取るためにゴチャゴチャ言ってるだけじゃねーかよ。
ジョーオンウォーター @suohsonic 2018年5月31日
カンマセパレーテッドバリューなのにタブ区切りとかセミコロン区切りも許容するポンコツ規格。
Yuka|Wicca @QQYukaQQ 2018年5月31日
roostarz 出どころというか、内容の保証がないファイルを安易に開かない、が一番でしょうねぇ。 何事にも通じるように思います。
× 暑いにゃ @cv45ValleyForge 2018年5月31日
hondapoint 「"001","002","003"」でも「1,2,3」だったのでExcelのバグで良い気がした。
Daregada @daichi14657 2018年6月1日
cv45ValleyForge 実は、csvの各データはダブルクォート(")で囲んでも囲まなくてもいいので、「ダブルクォートで囲んだから文字列データだ」とは言えないんです。数値データをダブルクォートで囲むことも許されるし、文字列でも、内部にカンマやダブルクォート(二重化した""で表記)や改行の類を含まなければ、ダブルクォートで囲まなくていい。結局のところ、csvデータの記法からはデータ型がわからないので、Excelが勝手に判断するか、人間がデータ型を指示するか、どちらかをせざるを得ないんですね
mmsaito @mmsaito1987 2018年6月3日
式の「保存」もできるとさらに便利なのだが。
Tuba56@法律の素人 @Tuba56 2018年6月29日
あの、スクリプトプログラムはテキストファイルなんですが、誰が安全って言った?
ログインして広告を非表示にする
ログインして広告を非表示にする