メールのやり取りでCSVファイルを受け取ることもあると思います。
ですが、そのCSVに悪意ある関数が仕込まれていた場合どうでしょうか?
「CSVファイル=安全」という先入観
おそらく、ほとんどの人がメールに添付されているCSVファイルは安全と思っているはず。
CSVファイルの実態はただのテキストファイルですので、それ単体では何の機能も持ちません。
ですが、あくまでCSVファイル単体だったらの話です。そのCSVファイルに関数が含まれており、エクセルなどで開いたらどうなるでしょう?
エクセルが関数を認識して関数を実行してしまいます。
少なくともエクセルには悪意あるプログラムを仕込めるような関数が用意されていないと思いがちですが、ウイルス侵入やデータの盗聴などに悪用される可能性のあるWEBSERVICE関数が存在します。
WEBSERVICE関数とは、外部サーバーと通信してWeb上のデータを取得・ダウンロードできる関数
この関数を利用すると、CSVには記述されていないコンテンツを表示できることになり、ウイルス侵入手口に使われる可能性がゼロではありません。
安全にCSVを開くには?
送信元は正しくても、送信元がハッキングされていて悪意あるCSVが送られてくる可能性はゼロではありません。
油断して機密情報を流出させてしまっては取り返しがつかないでしょう。
ですので、安全にCSVを開きたいのであれば、必ず以下のことを心がけましょう。
セキュリティ通知が表示されたものは無効にする
エクセルは、WEBSERVICE関数などセキュリティ上のリスクがある記述を見つけた場合は自動的に警告してくれます。
この警告が表示された場合は、必ず無効を選択してください。
そして、送信元にセキュリティ上の問題があって警告が表示されたことを伝えましょう。CSVをもらった先方に全く心当たりが無い場合は危険性が高いです。
ちなみに、無効にした状態で開くと関数が強制的にエラーになるようになっています。
基本的にこのことさえ守っておけば問題ありません。どうしても気になる場合はメモ帳などのテキストエディタで開くようにしましょう。
テキストエディタで開く場合は関数が実行されないので、安全に中身を閲覧できます。