【セキュリティ ニュース】「CSVファイルは安全」という先入観につけ込む標的型攻撃（1ページ目 / 全2ページ）：Security NEXT

データの交換に用いることが多い「CSVファイル」。「テキスト形式のCSVファイルに、マルウェア感染のリスクはない」と考えていたら要注意だ。こうした先入観の裏をかく標的型攻撃が確認されている。 「.csv」などの拡張子でやりとりされる「CSV（comma-separated values）形式」のファイルは、その名のとおりテキストデータをカンマで区切ったものだ。表計算ソフトやデータベースなどのデータをテキスト形式で交換するために多く利用されている。 たしかに、テキストファイルをメモ帳やテキストエディタなどで開いた場合、アプリ側に脆弱性が存在しない限りは、ファイル内部に悪意あるコードが記載されていても、それらが実行され、マルウェアへ感染するおそれはない。 しかし、あくまで「テキストエディタなどで開いた場合」という条件のもとでの話に過ぎない。攻撃者が目を付けたのは、CSVファイルを開くアプリの「

[tsekine]

こういう警告文は「有効にしないでください」ではなく「無効にしてください」と肯定文にしてほしいな。選択肢が２つしか無いんだし。

[nao550]

csvファイルをExcelで開くことでウィルスに感染する可能性があるという話

[mumincacao]

その手のものをほいほい有効化しちゃうひとは拡張子非表示＆ xls と csv を区別してない率高い感じするなぁ・・・ （＝ω【みかん

[stadio]

確かにcsvなら安心という先入観がある。csvファイルはほとんどの場合にExcelで開かれるにもかかわらず。でもこの例以外にどのような攻撃が考えられるだろう？

[braitom]

CSVをExcelで開くように関連付けしてると開いたときにマクロが起動する攻撃

[meeyar]

Excel使っている人にとってはアイコンが緑ならcsvだろうが xlsだろうが xlsxだろうが「エクセル」だと思う。「関連付け」ってそもそも知らない人向け攻撃っぽい

[sgo2]

Excel4.0マクロ?

[honeybe]

！？ / 実際の攻撃手法見てみたい

[csal8040]

サイバー情報共有イニシアティブ（J-CSIP）によれば、「CSVファイル＝安全」との思い込みを逆手に取った標的型攻撃が、2018年第1四半期に報告されたという。

[stealthinu]

確かにCSVファイルだから安全だろうという先入観あるな。これはある程度わかる人のほうが引っかかってしまうかも。