某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。
- The Absurdly Underestimated Dangers of CSV Injection
- The Absurdly Underestimated Dangers of CSV Injection
たとえば、セルに
=cmd|' /C calc'!test
などと書いてEnterを押すと、警告が出るので「はい(実行)」を指定すれば計算機が起動します。この「calc」のところにフルパスでプログラム名を指定しておけば、そのPCに入っているたいていのアプリを起動可能です。というわけで、CSVだからと侮っているとExcelなどで開かれて事故が起きる可能性がありますよ、というお話でした。
情報処理教科書 基本情報技術者試験の表計算問題がちゃんと解ける本
- 作者: 長谷川美幸
- 出版社/メーカー: 翔泳社
- 発売日: 2016/11/18
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
情報リテラシー教科書 Windows 10/Office 2016対応版
- 作者: 矢野文彦
- 出版社/メーカー: オーム社
- 発売日: 2017/01/26
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る