メールに添付されているCSVは100%安全ではない！関数が仕込まれているかも

メールのやり取りでCSVファイルを受け取ることもあると思います。

ですが、そのCSVに悪意ある関数が仕込まれていた場合どうでしょうか？

「CSVファイル＝安全」という先入観

おそらく、ほとんどのかたがメールに添付されているCSVファイルは安全と思っているはず。

CSVファイルの実態はただのテキストファイルですので、それ単体では何の機能も持ちません。

ですが、あくまでCSVファイル単体だったらの話です。そのCSVファイルに関数が含まれており、エクセルなどで開いたらどうなるでしょう？

エクセルが関数を認識して関数を実行してしまいます。

少なくともエクセルには悪意あるプログラムを仕込めるような関数が用意されていないと思いがちですが、ウイルス侵入やデータの頭頂などに悪用される可能性のあるWEBSERVICE関数が存在します。

WEBSERVICE関数とは、外部サーバーと通信してWeb上のデータを取得・ダウンロードできる関数

この関数を利用すると、CSVには記述されていないコンテンツを表示できることになり、最悪の場合ウイルス侵入手口に使われる可能性がゼロではありません。

送信元は正しくても、送信元がハッキングされていて悪意あるCSVが送られてくる可能性はゼロではありません。

油断して機密情報を流出させてしまっては取り返しがつかないでしょう。

ですので、安全にCSVを開きたいのであれば、必ず以下のことを心がけましょう。

エクセルは、WEBSERVICE関数などセキュリティ上のリスクがある記述を見つけた場合は自動的な警告してくれます。

この警告が表示された場合は、必ず無効を選択してください。

そして、送信元にセキュリティ上の問題があって警告が表示されたことを伝えましょう。先方に全く心当たりが無い場合は危険性が高いです。

ちなみに、無効にした状態で開くと関数が強制的にエラーになるようになっています。

基本的にこのことさえ守っておけば問題ありません。どうしても気になる場合はメモ帳などのテキストエディタで開くようにしましょう。

テキストエディタで開く場合は関数は実行されないので、安全に中身を閲覧することができます。

CSVビューワーもオススメ

通常のテキストエディタではCSVの中身が見づらいです。

その場合はCSVビューワーを使うといいでしょう。

CSVビューワーとは、エクセルみたいに表示できるけど関数を実行する機能がないビューワーです。

関数もただのテキストとして認識されるので、CSV ファイルの確認に最適でしょう。