Linux上でOffice2003を使う

Question

困っているというわけではないのですが、疑問に思ったので質問しています。

XP,Office2003のサポート終了に伴い、これらの使用が禁止された企業があります。
知人は、Linux上にOffice2003を入れて使っていて、またマクロは一切使っていないので、office2003の使用を中止する必要はないと言っています。
会社の決定には従うべきですが、セキュリティ上は問題ないと思いますがいかがでしょうか？。

会社としては、最新Officeとの互換性も保障されなくなるので、Office2003の禁止は、ある意味理解できます。が、それ以外にOffice2003を使い続ける社員がいるとどのような不都合があるのか思いつきません。

lv4u · Accepted Answer

>>ウイルスソフトは、ターゲットPC上でのネットアクセスするマルウェアであり、ターゲットPCのOS毎に異なるのが一般で、Linux用のウイルスソフトがWindowsに感染することはなく、その逆もない。

ちょっと前からマルウエアは、OS関連のファイルではなく、Java,PDFやFlush,Office,一太郎などを狙ったマルウエアが増えているようです。これは、ターゲットOSに関係なく動作するってことで、効率的な攻撃がしやすいからだそうです。
たぶん、攻撃の第１段階は、「OS問わずに動作するマルウエア」を送り込んで、第２段階において、「ターゲットOSに有効なマルウエアを配信する」というようなことをやっているように思えます。
いずれにしても、このあたりは私も勉強中で、よく分かりません。

PlayOnLinuxがもしWindowsと同様の機能をOfficeアプリに提供しているなら、ネット接続はできると思います。ただし、この段階では、まだ外部と通信が可能になっただけで、この後に、マルウエアの本体を沢山送り込まれるわけです。
だから、この第一段階でマルウエアの通信を遮断できれば、”感染”していない、と言ってもいいかもしれませんね。

>>ネットにつながったPCのWordやExcelは、利用者の知らないところで、ネットアクセスするのか？

通信します。
初期のマルウエアは、作るのが楽ですから、他のプログラムの通信機能を流用していたのですが、最近では、マルウエア内に通信機能を持たせるみたいです。
officeのファイル保存形式をバイナリが使えないXML形式に変えたのも、そういう通信機能をマルウエアが作れないようにするためのようです。

lv4u · Answer

>>ところで、Office2003を使い続ける社員がいるとどのような不都合があるのでしょう？

通常、Officeに対するサイバー攻撃の第一段階は、脆弱性を突いて、任意のコードを実行し、それにより外部からリモートでＰＣをコントロールするそうです。
その後は、感染したＰＣに、追加のマルウエアが送りこまれ、ネットワーク内のＰＣや共有サーバが調べられて、機密情報が抜かれるとか、場合によっては、韓国のように、システムが破壊されたりするわけですね。

たとえば、今年の３月末に配布された脆弱性修正コード(CVE-2014-1761)は、対象として、Office2003だけでなく、Office2007,2010,2013も含まれています。
このマルウエアの検証状況をみると、XPから Windows 7 SP1, Office20103に移行していたとしても、外部からのリモート制御は成功する可能性があります。

なお、こういう修正コードがもし、Office2003対象外となっているなら、修正が出たあとでも、Office2003ユーザは、リモート制御される可能性が残り続けるということになってしまいますからOffice2003を使わないようにするほうが良いとなりますね。

ところで、PlayOnLinuxがネット接続していない環境であれば、Office2003を使い続けていても、第一段階の外部からのリモート制御は失敗します。
そういう環境であるなら、PlayOnLinux上のOffice2003のほうが、Windows7 + Office2013の組み合わせよりも、安全性が高いといえるでしょうね。

lv4u · Answer

No.1です。

>>聞いてみました。似たソフトではなく、Office２００３だそうです。
PlayOnLinuxを起動し、「インストール」ボタンを押す。

なるほど、PlayOnLinuxを使うわけですか。WineというソフトでWindowsソフトを使うって話は、以前、目にしたことありましたけど、実用にはならないような気がして、記憶から消えていました。そのソフトの存在は知りませんでした。
確かに、Wineみたいな、PlayOnLinuxの環境でOffice2003を動作させれば、マルウエアに感染＆拡大する可能性は、相当低くなると思います。

ただ、動作速度が落ちるでしょうし、使い勝手も、悪くなりそうですね。それを我慢できるなら、いいんじゃあないでしょうか？

現実問題として、このやり方が安全だと聞かされてても、多くの方は、その環境を真似しないような気がします・・・。

WindFaller · Answer

こんにちは。

少し、私からもちょっと書かせてもらいます。

あまり初歩的な話は、割愛しますが、社内のにおけるLinuxの利用と個人使用では、セキュリティ対策については、まるっきり違います。それを明確に分ける必要があります。当然ですが、Linux にも、セキュリティ・ソフト自体はあります、念のため。

>会社の決定には従うべきですが、セキュリティ上は問題ないと思いますがいかがでしょうか？。
これは、社内のセキュリティ・マネージメントに関わるものですから、掲示板でどうしたら良いのかという話ではありませんが、実際の企業において、どういう問題が生じるかにおいて、

３つの点
「情報の機密性、完全性、可用性の維持」

を考慮していかなくてはならないはずです。（個々の説明は、インターネット検索をしてください)

問題は、会社は、それについてどう考えているかに尽きるはずで、そのリスクにおいては、安全だから良いとかではなく、会社の情報はいわゆる資産である以上、その管理において、そのレベルの話は、個人の自由裁量の範囲とはいえないはずです。ウィルスの攻撃とか感染とかは二の次です。ウィルス感染は、ほんの一部です。*統計によれば、ウィルス感染の被害は、ITのトラブル（事故）全体の2%にしか過ぎません。

企業にとって多くの重大な危機に晒されるのは、情報の漏洩のはずです。個人データの流出や盗難という問題で、多くは、ヒューマンエラーが起こす割合は、46%と言われます。（*これらの統計は、2012年の中央職業能力開発協会によるものです）

もちろん、ご質問要件のLinux上の「Office2003の使用を中止する必要はない」そのものは、皆さんが危惧するよりも、大きな問題だとは私は思っていませんし、おそらくは、ウィルス感染による被害自体の事故件数は、セキュリティ・ソフトがあるかぎりは、減るのではないかと考えますし、Office 2003自体が持つ脆弱性が、新バージョンと、それほど大きく変わるとは思っていませんが、企業内セキュリティ・マネージメント全体としては、そういうことが通ることこそが怖いのではないでしょうか。そして、そういう問題の中に、ヒューマンエラーが引き起こす事故が潜んでいるように考えます。

Kaneyan-R · Answer

Linux上でOffice 2003を動かす方法は無くはないですが、普通は動きません。
WineとかCrossOverとか使えば動く・・・かも？（インストーラー自体は動くようですが）

確実だとすると、Linux上の仮想マシン（内のWindows）で動いているだけでは？

仮想マシンで動いているなら、Windowsが動いているのと同じなのでセキュリティリスクは同じ。
感染しても自身のPCへの影響は少ないが、周りのリスクは何も変わらない。

何か皆勘違いしているようだが、世界で見たらWindowsが動いているコンピュータより、UNIX系OS（Linux系やMacも元は同じ）が動いているコンピュータの方が桁違いに多いのだが・・・当然ウイルスもUNIX系に感染するものの方が多い。
でも問題にならない（問題が表に出ない）のは、セキュリティ管理者がいて雁字搦めにしていたり、オープンソースなので、使用状況が把握できないから。

Windowsは爆発的に広まったせいで、まったく知識のない「ど素人」（あえて「初心者」とは言わない）まで使うようになってしまったがために、恰好のカモになっただけ。

Linuxだってセキュリティソフト入れなければ感染するし、Windowsエミュレータなんて使ってたら、Windowsのウイルスにまで感染してしまう。

Windows XP終了でLinuxに流れる者もいるが、知識がなければセキュリティリスクを増やすだけ。
Windowsのように何か変な動きがあったら警告出したり、アップデートの通知なんて無い。
「普段はユーザー権限で使用し、必要な時だけsuコマンドで管理者権限発動する」なんて使い方をするOSだと言うことを、どれだけの人が知っているだろうか？

そんな状況でLinuxを使い続ける事を考えたら、XPにセキュリティソフトを入れて使い続ける方が、まだセキュリティリスクは低いと言うことを知って欲しいと思う、今日この頃です。

t_ohta · Answer

本人がマクロを使っていなくても、第三者がOfficeの脆弱性を突く改竄したファイルをメール等で送ってきて、それを開けば被害に遭う可能性は十分有ります。
ファイルを送った本人に悪意がなくても、ウイルス等で知らないうちに改竄される可能性も有るので、知っている人から送られてきたファイルでも安全とは言えません。
Officeの脆弱性はマクロだけではありませんので、マクロを無効にしていても役に立たない場合があります。

Linux上にインストールしていると言っても、マイクロソフト社のOfficeを動かしているのであれば、何らかの形でWindowsをエミュレートしているので影響を受ける可能性が有ります。

IDii24 · Answer

>Linux上にOffice2003を入れて使っていて
他の回答にもあるようにありえないです。
で、素人さんはWindowsよりLinuxのほうが安全って勘違いしてますよね。Linuxは最初からサポートが無いからもともとセキュリティ保守の概念が無いというだけです。法律が無い国で犯罪率が低いと言っているのと同じですね。
Linuxはフリーでオープンだから、自分でOSを改造して頑丈に作れる人なら安全です。そういう人たちはソースを見れば改ざんされたとか、ここが危ないとか分かる人です。普通の人がそのまま使えばXPより危ないOSというわけです。スポーツカーに窓もドアもなしで乗っているのと同じ。
その窓とドアをつけるのはプログラマの仕事です。WINはそれをしてくれて売っているわけです。LINUXの製品を作っているメーカーも窓とドアをつけてアレンジして売るのです。

lv4u · Answer

>>知人は、Linux上にOffice2003を入れて使っていて、またマクロは一切使っていないので、office2003の使用を中止する必要はないと言っています。

その知人に使っている状況をきちんと聞いてみてください。office2003はLinux上では動作しません。
office2003に似たソフトを使われているのじゃあないですか？

>>会社の決定には従うべきですが、セキュリティ上は問題ないと思いますがいかがでしょうか？。

そのように考えた根拠となる知人の話が間違っている、あるいは、質問者さんが聞き間違いしているので、セキュリティ上は問題ないという判断も間違っています。

Linux上でOffice2003を使う

>>ウイルスソフトは、ターゲットPC上でのネットアクセスするマルウェアであり、ターゲットPCのOS毎に異なるのが一般で、Linux用のウイルスソフトがWindowsに感染することはなく、その逆もない。

>>ところで、Office2003を使い続ける社員がいるとどのような不都合があるのでしょう？

No.1です。

こんにちは。

Linux上でOffice 2003を動かす方法は無くはないですが、普通は動きません。

本人がマクロを使っていなくても、第三者がOfficeの脆弱性を突く改竄したファイルをメール等で送ってきて、それを開けば被害に遭う可能性は十分有ります。

>Linux上にOffice2003を入れて使っていて

>>知人は、Linux上にOffice2003を入れて使っていて、またマクロは一切使っていないので、office2003の使用を中止する必要はないと言っています。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング