下記のIPAおよびJPCERT/CCの「JVN」の情報では、最新版Office以外のOffice2007、2010などでは、「代替テキスト」に、”ファイルの保存場所(絶対パス)”が保存される場合があるので、注意下さいとのことです。
JVN#20459920: Microsoft Office における情報漏えいの問題
https://jvn.jp/jp/JVN20459920/
なお、この情報では、最新版でないMicrosoft Office では、Office ドキュメントにクリップアートなどのファイルを挿入した際、「代替テキスト」にローカルファイルの絶対パスが保存されるということです。
また、対策として下記を勧めています。
・Windows 版 Office は 最新版Microsoft Office 2013 へアップグレード
・Mac 版 Office は 最新版Microsoft Office 2016 for Mac へアップグレード
・「代替テキスト」を手動で削除または編集
なお、“ドキュメント検査”でも”絶対パス“の情報は検出もされず、削除もできないので、個々に削除する必要があり、注意が必要です。
但し、Windows最新版のOffice 2013でも、Word 2013には同様の不具合があるようです。Word 2013で、”エクスプローラーからコピー・アンド・ペースト”で図を挿入した場合、画像の「代替テキスト」に”ファイルの保存場所(絶対パス)”が保存されました。
何故、「代替テキスト」に”ファイルの保存場所(絶対パス)”が必要なのか、全く不可解で、Officeの不具合としか言いようがありません。
■Office Word 2013 図の挿入 エクスプローラで「コピー・アンド・ペースト」の場合
■
■ 画像挿入での情報漏えい対策
■
対策は、最新版のOffice以外の場合は、「代替テキスト」を確認し、”ファイルの絶対パス”の記述があれば削除することです。
(注)最新版のOffice・・・WindowsはOffice 2013、Mac は 2016 for Mac
また、Windowsの最新版Office2013でも、Word 2013の場合は、”エクスプローラーからコピー・アンド・ペースト”で図を挿入するのは避けて下さい(同じ不具合が発生します)。もし、画像挿入する場合は、リボンメニューから「挿入」「画像」で実施下さい。
なお、PowerPoint 2013、Excel2013では特別、問題はありませんでした。
■
■ 旧Office、クリップアートなどを使用すると情報漏えいの可能性あり
■
旧Office、クリップアートなどを使用すると情報漏えいの可能性あり | RBB TODAY
http://www.rbbtoday.com/article/2015/08/12/134256.html
上記情報で、IPAおよびJPCERT/CCは12日、「Microsoft Officeにおける情報漏えいの問題」(JVN#20459920)を、脆弱性対策情報ポータルサイト「JVN」において公表したと、分かりやすく紹介しています。
古いバージョンのMicrosoft Officeでクリップアートなどのファイルを挿入した際、「代替テキスト」にローカルファイルの絶対パスが保存されるため、第三者によって、ファイルシステムやユーザ名に関する情報を取得される可能性があるとのことです。
JVN#20459920: Microsoft Office における情報漏えいの問題
https://jvn.jp/jp/JVN20459920/
なお、上記のIPAおよびJPCERT/CCには詳しい内容が紹介されていますので、以下に簡単に紹介します。
■Microsoft Office には情報漏えいの問題が存在。影響を受けるシステム
Microsoft Office 2007
Microsoft Office 2010
Microsoft Office for Mac 2011
■情報漏えいの内容
Microsoft Office では、Office ドキュメントにクリップアートなどのファイルを挿入した際、「代替テキスト」にローカルファイルの絶対パスが保存されます。
当該製品で作成されたファイルを取得した第三者によって、ファイルシステムやユーザ名に関する情報を取得される可能性があります。
■対策
・Windows 版 Office は 最新版Microsoft Office 2013 へアップグレード
・Mac 版 Office は 最新版Microsoft Office 2016 for Mac へアップグレード
・「代替テキスト」を手動で削除または編集
■
■ Office2013の図の挿入と「代替テキスト」不具合内容
■
Office2010、2013の図の挿入と「代替テキスト」不具合内容について、Solomonレビュー(Sub)さんの以下のブログは、非常に参考になりました。
内容が具体的で分かりやすいです。このような情報、本当に役に立ちます。感謝!感謝です。
MS Office Word 2010とPowerPoint 2010の個人情報
:Solomonレビュー(Sub):So-netブログ
http://solomon-review-sub.blog.so-net.ne.jp/2011-11-09
MS Office Word 2013の個人情報
:Solomonレビュー(Sub):So-netブログ
http://solomon-review-sub.blog.so-net.ne.jp/2014-09-02
このSolomonレビュー(Sub)のブログで、ドキュメントに図を貼り付ける方法として、以下があるとして、詳細に検討されています。
・リボンメニューから「挿入」「画像」を使う
・エクスプローラーからドラッグ・アンド・ドロップを使う
・エクスプローラーからコピー・アンド・ペーストを使う
私のパソコン環境はOffice2013なので、Word 2013、PowerPoint 2013、Excel2013について調べてみました。
Word 2013で、エクスプローラで「コピー・アンド・ペースト」で図を挿入した場合、画像の「代替テキスト」に”ファイルの保存場所(絶対パス)”が保存されていました。
Word 2013でも、リボンメニューから「挿入」「画像」で画像を挿入する場合などはOKで、PowerPoint2013、Excel2013では、問題は発生しませんでした。
■Office 2013 図の挿入と「代替テキスト」
■Word 2013 図の挿入 エクスプローラで「コピー・アンド・ペースト」の場合
《補足》JVNとは
JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供している、脆弱性対策情報ポータルサイトです。
脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。