CSVファイルも用心すべし

CSVファイルとはデータをカンマで区切り記述したテキストファイルなので,マルウエアの感染リスクとは無縁かと思いがちだがそうでもないという事です。

ファイル拡張子はcsvで,データはテキスト形式なのでメモ帳などのテキストエディタでの編集もできますが,Excelがセットアップされていれば標準で関連付けされていて,ファイルアイコンもExcelに似たものになります。
CSVアイコン

ExcelがCSVファイルを読み込む時,コマンド実行する関数が記述されていればその通りに動作するので,もしそれが悪意のある内容なら脅威になるという事です。

CSVファイルに書かれている内容が単なるテキストなら、それを表示するだけなので害はない。だが、関数などが記述されていると、Excelはそれを読み込んで解釈し、その内容に従って動作する。コマンド(プログラム)を実行する関数を記述することもできる。
このため、Excelがインストールされている環境で細工が施されたCSVファイルを開くと、攻撃者が意図したコマンドを実行させられる恐れがある。覆された常識、CSVファイルでウイルス感染

Excelでデータ集計した表をCSV形式でエクスポートすると,計算式部分は値としてエクスポートされますが,逆にテキストエディタで関数を含むCSVファイルを作成するとExcelではそれを実行します。

CEMIはウェブサイトで良く見かける、CSVへの書き出し機能を狙った脆弱性です。皆様ご存知の通り、Excelには関数があり、CSVに書き出す際ユーザ入力が正しくエスケープされていない場合、関数をインジェクトすることにより任意のコード実行などができます。CEMIについて

こちらのサイトではそれを検証しています。

CSVファイルでウイルスに感染!?「CSVに関数を埋め込んで実行してみた」
– ビジネスとIT活用に役立つ情報

情報源:
覆された常識、CSVファイルでウイルス感染 – 日経 xTECH(クロステック)
CEMIについて – Hack Patch!
CSVファイルでウイルスに感染!?「CSVに関数を埋め込んで実行してみた」 – ビジネスとIT活用に役立つ情報
Office文書にリンク埋め込むDDEを悪用、攻撃の影響は広範囲に及ぶ – 日経 xTECH(クロステック)